Dit is een hele goede initiatief dit zou gelijk ook in Nederland op alle apparaten geïmplementeerd moeten worden worden dingen stukken veiliger

Goed zo. Het aardige van dit soort wetgeving is dat het eenvoudiger voor een fabrikant is om het meteen voor de hele wereld goed te doen dan om voor alleen Californië iets afwijkends in de markt te zetten.

Vervolgens gaan we een password baseren op het serienummer wat uiteraard zo opvraagbaar is. Immers, hoe moet je anders het juiste password bij een device krijgen als fabrikant.

Leuk verzonnen, bijna goed!

Eens. Wel jammer dat er een wet nodig is voor zoiets basaals.

Het is juist goed dat er zulke wetten zijn, dat maakt het noodzakelijker voor leveranciers van deze goederen dit te implementeren

Een serienummer is doorgaans pas te zien als je ingelogd bent, of als je het device fysiek in handen hebt. Als bescherming tegen een digitale aanval is dat genoeg. Zolang er ook een degelijke bescherming is tegen een bruteforce aanval. Want anders kun je lukraak proberen met bekende reeksen van serienummers.

Maar het verplicht kiezen van een uniek wachtwoord bij eerste gebruik is nog beter. b.v.: Bij de HikVision camera's moet je een speciaal installer programma gebruiken voor het activeren van de camera en je kiest zelf een sterk een wachtwoord. (Zwakke worden wachtwoorden worden verworpen). Zonder activatie kun je de camera niet gebruiken.

Zonder wet gaat het niet werken. De massa van het volk wil plug&play.

Als je dit vrijwillig doet blijft je marktaandeel klein. De concurrentie gaat dan nml. reclame maken dat hun product wel plug&play is en deze massa blijft weg bij jou goede product. Men beweerd wel dat veiligheid belangrijk is, maar als het erop aankomt, kiest de massa toch de doos waar "plug&play" op staat.

@Briolet,

Je zegt dat de grote massa "plug&play"en "oneclick" oplossingen wil. Misschien moeten ze dan de komende chaos als het helemaal misgaat zelfs eens aan den lijve beleven om er enigszins anders over te gaan denken. Maar ja het volk leert zeer langzaam of helemaal niets. Ja, alleen en zeer snel als er ineens geen enkele ATM meer zou werken, dan is het opeens geween en knersing der tanden, anders blijft het business as usual.

Met gemiddeld 18 te onthouden IoT wachtwoorden valt het ook niet mee. Beter alles achter 1 oplossing beveiligen. Dus je slimme meter, je slimme telefoon, je slimme ijskast, je slimme TV, je slimme stofzuiger centraal afregelen en afdoende beveiligen. Maar ja te moeilijk voor Muts en Pruts.

Het zou wel sneller veranderen als Big Tech en de producenten er direct schade van zouden ondervinden of het hen flink zou gaan kosten. Nu gaan we gerust nog even zo door. Shodannetje erbij, dorkje, oh een botinfectie via mijn smart led lampjes, die ik in een vlaag van verstandsverbijstering aan het Internet heb gehangen, want een goedkoop mannetje regelt het via externe toegang, toch? Kosten gingen voor de baat uit?. Gehacked? Wat jammer nou.

Trouwens komt er ook een wet op wat en wanneer er uitgelezen mag worden van mijn slimme meters en wat de wetgever hiermee kan en mag? Nog niet veel over gehoord. Dus ook maar achter die persoonlijke beveiliging. Oh, Nielsen New York zit op al mijn smart TV kijk-data en bevoor(oor)deelt ook nog commercieel boven NOP. Kijkcijfers ook vaak doorgestoken kaart, maar ja "one click" en "plug and play" niet uitgezet, dus men kan manipuleren wat men wil.

luntrus

Ik ben het helemaal met jou eens. Te weinig mensen willen tegenwoordig begrijpen wat er onder de motorkap gebeurd en willen veiligheid. Dit is naïef.

Dat klopt dat is de essentie van mijn opmerking.
Nog steeds jammer dat ICT nerds kennelijk gefaald hebben om dat vanuit het ontwerp als security by design te doen.
Er zullen best nog een lang lijst andere maatregelen en eisen te verzinnen zijn.

Leuk begin, maar het werkelijke probleem is toch echt ondersteuning.

eeeeeigenlijk zouden dit soort apparaten slechts als service moeten mogen worden afgenomen want alleen op die manier voorkom je dat de gemiddelde digibeet na enkele jaren alsnog zwaar de klos is.

Nee, de ICT nerds hebben gefaald hun management te overtuigen van de noodzaak; die zien een business-case en wegen de belangen. Garbage-in, garbage-out (ook wel sales-traject genoemd) ...

Ook eens je kent vast de kies twee uit: a/ time to market (snel) b/ get it as cheap as possible (kosten laag) 3/ kwaliteit
Met een werkende poc zonder security zo snel mogelijk de markt op.

Hoe kan dat serienummer "uiteraard zo opvraagbaar" zijn? Dat kan omdat het een serie bits is die ergens in het apparaat is opgeslagen en waar de firmware bij kan. Zo'n apparaat is namelijk niet helderziend, dat serienummer is uit te lezen omdat het ergens opgeslagen is en die opslag moet dus voor elk apparaat een andere waarde bevatten. Dat betekent dat de fabrikant in elk apparaat data plaatst die uniek is voor dat apparaat. Het eenmalig schrijfbare geheugen dat hiervoor nodig is is in 1956 al uitgevonden (dat heet PROM - Programmable Read-Only Memory). Modernere varianten daarvan zijn beschikbaar.

Maar als de fabrikant toch in staat is om elk apparaat van andere data te voorzien dan is er geen enkele technische belemmering om behalve het serienummer ook een wachtwoordhash op te slaan die uniek is voor het apparaat. Dat wachtwoord kan dus volledig onafhankelijk van het serienummer zijn en net als het serienummer op een sticker op het apparaat geplakt worden. Dat wachtwoord dient als default-wachtwoord, de gebruiker kan het vervangen, maar bij een reset naar de fabrieksinstellingen wordt de default-hash weer overgenomen en geldt het wachtwoord op de sticker weer.

Zo kan een fabrikant dat anders doen dan je suggereert.

Dat gaat niet op als de fabrikant het MAC-adres baseert op het serienummer (of andersom). Het MAC-adres is relatief makkelijk op afstand uitleesbaar.

Overal waar ik kijk lees ik : made in china.

Inderdaad!
Alhoewel er veel subjectieve (niet meetbare, dus niet te handhaven) termen staan in deze wet, is het beter dan wat er nu in NL verkocht wordt.

voor de mensen die commentaar hebben, wat is het alternatief? niks doen? heb jij de oplossing?