2021/11/25

Reino Unido proíbe passwords "default"

Numa medida que visa dificultar as infecções por botnets, o Reino Unido vai proibir a utilização de passwords default.

Em vez de coisas como o popular "admin" ou "123456", todos os dispositivos com ligação à internet terão que vir de origem com passwords únicas seguras, e também impedir que se possa fazer reset às mesmas para um valor "de fábrica".

A intenção é dificultar a vida às botnets que se propagam por inúmeros dispositivos IoT por conta de passwords comuns que são usadas em todos os aparelhos e que os donos acabam por nunca alterar (55% das passwords usadas em ataques IoT são "123456"); mas de pouco servirá para impedir as que se propagam usando vulnerabilidades (e não são poucas) que nunca são actualizadas. Também fica por verificar a real eficácia desta medida, se resultar nos utilizadores a simplesmente colocarem passwords fáceis nos aparelhos: como recentemente se viu no caso das passwords mais populares em Portugal.

Não menos importante, a nova legislação também obrigará os fabricantes a fornecerem mais informação referente a actualizações de segurança, que acaba por ser algo ainda mais crítico. De nada servirá ter uma password segura se o dispositivo tiver uma vulnerabilidade que permita ultrapassá-la, e cuja correcção nunca seja aplicada. Veremos se isto pode dar início a algum movimento que possa criar algum tipo de standard mínimo de segurança para dispositivos IoT com garantias de actualização durante determinado período; embora idealmente, essas actualizações devessem ser asseguradas durante todo o tempo de vida do aparelho.

1 comentário:

  1. De uma forma geral, a cada equipamento é assignado um número de série único.

    Mesmo considerando que não tenho a mínima "compaixão" para com empresas multimilionárias, deixo esta dica que, não sendo perfeita, seria um primeiro passo para cumprir esta proposta britânica (que até considero bastante pertinente):

    A password predefinida nesse tipo de equipamentos poderia ser o próprio número de série podendo, obviamente, depois ser alterada a gosto dos clientes.

    ResponderEliminar

[pub]