image

Britse overheid wil unieke wachtwoorden voor IoT-apparaten

woensdag 1 mei 2019, 12:23 door Redactie, 5 reacties

Als het aan de Britse overheid ligt worden Internet of Things-apparaten straks met een uniek wachtwoord geleverd dat niet naar een universeel standaardwachtwoord is terug te zetten. Het Britse ministerie voor Digitale Zaken, Cultuur, Media & Sport is een internetconsultatie gestart over de veiligheid van IoT-apparaten voor particulieren. Het doel is om tot richtlijnen te komen voor fabrikanten, serviceproviders, ontwikkelaars en winkels.

Volgens het ministerie worden er op dit moment grote aantallen IoT-apparaten verkocht die zelfs de meest basale beveiligingsmaatregelen missen. Deze kwetsbare apparaten kunnen de achilleshiel van iemands netwerk worden en de privacy en persoonlijke veiligheid van de gebruiker ondermijnen. Gecompromitteerde IoT-apparaten zijn in het verleden voor grootschalige ddos-aanvallen ingezet. "Deze situatie is onhoudbaar", aldus het ministerie.

De Britse regering vindt dat IoT-apparaten met ingebouwde security moeten worden geleverd in plaats van dat wordt aangenomen dat de gebruiker verantwoordelijk is voor de beveiliging. In samenwerking met experts zijn er nu door de overheid drie regels opgesteld die als minimale basisbeveiliging moeten worden gezien. Deze regels moeten verplicht gaan gelden voor IoT-apparaten die in het Verenigde Koninkrijk worden aangeboden.

Als eerste moeten alle IoT-apparaten met een uniek wachtwoord worden geleverd dat niet terug te zetten is naar een universeel standaardwachtwoord. Fabrikanten moeten daarnaast een contactpersoon vermelden waar onderzoekers beveiligingslekken kunnen melden. Verder zullen fabrikanten aangeven hoelang een IoT-product beveiligingsupdates blijft ontvangen. Deze maatregelen zouden gebruikers tegen de grootste risico's moeten beschermen.

De maatregelen kunnen op verschillende manieren in de praktijk worden geimplementeerd. Zo kunnen winkels worden verplicht om alleen IoT-apparaten te verkopen die over een "security label" beschikken dat door de fabrikanten zelf wordt opgesteld. Een tweede optie is om winkels te verplichten dat ze alleen producten aanbieden die aan de drie regels van de overheid voldoen. De derde en laatste optie verplicht winkels om alleen producten te verkopen die aan dertien eerder gestelde regels voldoen.

De Britse overheid is van plan om later dit jaar een vrijwillig "security label" te lanceren totdat wetgeving van kracht wordt en de regering heeft beslist welke maatregelen onderdeel van deze wetgeving zijn. Via de internetconsultatie wordt nu om feedback gevraagd, bijvoorbeeld of de overheid zich met regelgeving voor IoT-producten moet bemoeien en of een security label gewenst is.

Image

Reacties (5)
01-05-2019, 13:35 door Anoniem
Waar men nog steeds aan voorbij gaat, is dat de economische levensduur (= duur waarin nog updates verstrekt worden) bij dat soort apparatuur de daadwerkelijke levensduur nooit haalt. De helft al niet. Daarmee is het hele verhaal 'updates' wel leuk, maar niet levensvatbaar.
01-05-2019, 14:57 door Anoniem
Hoe willen ze "unieke" wachtwoorden per apparaat genereren die niet bij fabrikant bekend zijn ?

verplichte wachtwoord wijziging werkt beter.
01-05-2019, 15:22 door Anoniem
Het zou veel beter zijn dat er aangegeven wordt hoe dit unieke per device wachtwoord gegenereerd zou moeten worden.

Unieke wachtwoorden per device, dat dachten ze ook te doen met modems zoals Speedtouch / Thomson en anderen. Dit ging naar ik meen op basis van een MAC adres. Vervolgens kwamen de generators waarmee je op basis van een deel van het SSID gewoon kon inloggen op dat netwerk.

M.a.w. het zou beter zijn dat er wordt aangegeven hoe iets geimplementeerd moet worden dan aan te geven dat er iets geimplementeerd moet worden. Dit is een stuk belangrijker naar mijn mening want 000001 t/m 999999 is ook uniek. Daarbij is er vanzelfsprekend ook nog een groot verschil tussen uniek en uniek + sterk.
01-05-2019, 23:53 door Anoniem
Ik stel voor dat de Britse overheid per wet vastlegt wat dat unieke wachtwoord dan moet zijn voor in de UK te leveren IoT apparaten. Tegen de tijd dat ze het daar over eens worden, bestaat IoT niet meer :)
06-05-2019, 12:07 door Anoniem
We gebruiken een SafeNet Luna als randomgenerator for the wachtwoorden. De klant krijgt een PKCS7 versleutelde lijst met serienummer en wachtwoord.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.