Standaard wachtwoorden in 'slimme' apparaten vanaf nu verboden in VK
Vanaf vandaag zijn standaard wachtwoorden in 'slimme' apparaten niet meer in het Verenigd Koninkrijk toegestaan. Een Britse wet die dit verbiedt is namelijk van kracht geworden. Fabrikanten mogen daardoor geen apparaten meer leveren of verkopen die dergelijke wachtwoorden gebruiken, omdat ze eenvoudig te vinden en misbruiken zijn. Tevens moeten fabrikanten ervoor zorgen dat er een contactmogelijkheid is waar beveiligingsproblemen kunnen worden gerapporteerd, zoals kwetsbaarheden.
Een ander onderdeel van de Product Security and Telecommunications Infrastructure act betreft de informatievoorziening over beveiligingsupdates. Fabrikanten moeten aan gebruikers laten weten hoelang ze de apparatuur van patches voorzien. De wet geldt voor onder andere 'slimme' speakers, televisies, deurbellen, beveiligingscamera's, babymonitors, streamingapparaten, fitnesstrackers, thermostaten en andere huisapparatuur die met internet verbonden is.
De meeste smart devices worden buiten het Verenigd Koninkrijk gefabriceerd, maar de wet geldt voor alle organisaties die producten op de Britse markt importeren of verkopen. Wanneer bedrijven niet aan de wetgeving voldoen maken ze zich schuldig aan een misdrijf, waarop boetes van maximaal tien miljoen pond of vier procent van de wereldwijde omzet kunnen staan, afhankelijk van welke hoger is, zo meldt het Britse National Cyber Security Centre (NCSC).
Terwijl de kern van het probleem ligt bij gebruikers die niet de moeite nemen om eea. te configureren. Het wordt het probleem van de fabrikanten gemaakt.
(IOT) apparatuur is voor de meeste mensen al een soort van abracadabra, zeker op het gebied van beveiliging,
Nu moet de gemiddelde gebruiker van alles gaan instellen om het werkend te krijgen na aanschaf?
En dan ook nog de updates bij gaan houden?
Succes!
Deze bevatten ook default accounts... en dus verboden...
Ik weet nog wat chineesche meuk welke doorgespit is op default accounts... begint met H...
(2) Passwords must be—
(a)unique per product; or
(b)defined by the user of the product.
(3) Passwords which are unique per product must not be—
(a)based on incremental counters;
(b)based on or derived from publicly available information;
(c)based on or derived from unique product identifiers, such as serial numbers, unless this is done using an encryption method, or keyed hashing algorithm, that is accepted as part of good industry practice;
(d)otherwise guessable in a manner unacceptable as part of good industry practice.
(IOT) apparatuur is voor de meeste mensen al een soort van abracadabra, zeker op het gebied van beveiliging,
Nu moet de gemiddelde gebruiker van alles gaan instellen om het werkend te krijgen na aanschaf?
En dan ook nog de updates bij gaan houden?
Succes!
Je hebt zeker je internet modem door de monteur laten installeren ?
Toevallig recent zelf gedaan - er zit gewoon een sticker achterop met een uniek wifi SSID, Wifi password en uniek admin password. (kpn modem, was dit).
Het heeft een tijd geduurd, "vroeger" hadden ze allemaal hetzelfde default wachtwoord , en waren ze massaal te hacken juist omdat mensen het default pw lieten staan .
Nu laat 99% natuurlijk nog steeds "het" default password staan, maar dat is nu een device-uniek password, en als dat behoorlijk gedaan is het niet te voorspellen op basis van zichtbare eigenschappen van het modem.
Het was voor de productiestraat van de fabrikanten natuurlijk even omschakelen, om te zorgen dat er een unieke config in komt en dat de sticker met juiste info op het juiste kastje komt, maar dat is voor modems prima gelukt.
Niet verkeerd als dat voor andere smart bla bla ook zo gaat.
Fabrikanten met verantwoordelijkheidsgevoel (of praktisch inzicht - waarom apart produceren per land) die hebben nu al dergelijke voorzieningen. Soms met mopperende "ik weet het beter!" admins, maar de meesten vinden het een goed idee.
(IOT) apparatuur is voor de meeste mensen al een soort van abracadabra, zeker op het gebied van beveiliging,
Nu moet de gemiddelde gebruiker van alles gaan instellen om het werkend te krijgen na aanschaf?
En dan ook nog de updates bij gaan houden?
Succes!
Je hebt zeker je internet modem door de monteur laten installeren ?
Toevallig recent zelf gedaan - er zit gewoon een sticker achterop met een uniek wifi SSID, Wifi password en uniek admin password. (kpn modem, was dit).
Het heeft een tijd geduurd, "vroeger" hadden ze allemaal hetzelfde default wachtwoord , en waren ze massaal te hacken juist omdat mensen het default pw lieten staan .
Toen ik 20 jaar geleden voor een internet provider werkte, gaven we modems al een uniek wachtwoord. Alleen plakten we dat niet op de router, maar stond het in de mail naar de verantwoordelijke beheerder. Dus was het ook beschikbaar, nadat ze de modem ergens diep in een kast of boven het plafond hadden geplaatst.
Peter
(IOT) apparatuur is voor de meeste mensen al een soort van abracadabra, zeker op het gebied van beveiliging,
Nu moet de gemiddelde gebruiker van alles gaan instellen om het werkend te krijgen na aanschaf?
En dan ook nog de updates bij gaan houden?
Succes!
Je hebt zeker je internet modem door de monteur laten installeren ?
Toevallig recent zelf gedaan - er zit gewoon een sticker achterop met een uniek wifi SSID, Wifi password en uniek admin password. (kpn modem, was dit).
Het heeft een tijd geduurd, "vroeger" hadden ze allemaal hetzelfde default wachtwoord , en waren ze massaal te hacken juist omdat mensen het default pw lieten staan .
Toen ik 20 jaar geleden voor een internet provider werkte, gaven we modems al een uniek wachtwoord. Alleen plakten we dat niet op de router, maar stond het in de mail naar de verantwoordelijke beheerder. Dus was het ook beschikbaar, nadat ze de modem ergens diep in een kast of boven het plafond hadden geplaatst.
Peter
(IOT) apparatuur is voor de meeste mensen al een soort van abracadabra, zeker op het gebied van beveiliging,
Nu moet de gemiddelde gebruiker van alles gaan instellen om het werkend te krijgen na aanschaf?
En dan ook nog de updates bij gaan houden?
Succes!
Je hebt zeker je internet modem door de monteur laten installeren ?
Toevallig recent zelf gedaan - er zit gewoon een sticker achterop met een uniek wifi SSID, Wifi password en uniek admin password. (kpn modem, was dit).
Het heeft een tijd geduurd, "vroeger" hadden ze allemaal hetzelfde default wachtwoord , en waren ze massaal te hacken juist omdat mensen het default pw lieten staan .
Toen ik 20 jaar geleden voor een internet provider werkte, gaven we modems al een uniek wachtwoord. Alleen plakten we dat niet op de router, maar stond het in de mail naar de verantwoordelijke beheerder. Dus was het ook beschikbaar, nadat ze de modem ergens diep in een kast of boven het plafond hadden geplaatst.
Peter
Dat is ook een manier - alleen het is een kip-ei probleem bij de eerste installatie , omdat er (zeker toen) het email adres van de aanstaande klant nog niet bereikbaar is want daarvoor moeten ze nu juist het modem ingesteld hebben.
Gezien 'verantwoordelijke beheerder' klinkt het als (klein)zakelijke markt , meerdere locaties e.d. ?
Voor consumenten markt is m.i. een sticker erop met mac/serienummer/model en dan een random uniek password een prima model, en een behoorlijke verbetering op 'elk apparaat hetzelfde default password' .
Als de klant er niet aan denkt even een foto te maken van die sticker moeten ze misschien ooit het ding weer opduiken uit de meterkast of achter het plafond vandaan halen, jammer maar het kan wel.
(IOT) apparatuur is voor de meeste mensen al een soort van abracadabra, zeker op het gebied van beveiliging,
Nu moet de gemiddelde gebruiker van alles gaan instellen om het werkend te krijgen na aanschaf?
En dan ook nog de updates bij gaan houden?
Succes!
Je hebt zeker je internet modem door de monteur laten installeren ?
Toevallig recent zelf gedaan - er zit gewoon een sticker achterop met een uniek wifi SSID, Wifi password en uniek admin password. (kpn modem, was dit).
Het heeft een tijd geduurd, "vroeger" hadden ze allemaal hetzelfde default wachtwoord , en waren ze massaal te hacken juist omdat mensen het default pw lieten staan .
Toen ik 20 jaar geleden voor een internet provider werkte, gaven we modems al een uniek wachtwoord. Alleen plakten we dat niet op de router, maar stond het in de mail naar de verantwoordelijke beheerder. Dus was het ook beschikbaar, nadat ze de modem ergens diep in een kast of boven het plafond hadden geplaatst.
Peter
Misschien niet, maar de notitie terugvinden als het nodig is kan dat wel zijn.
En dan is de ISP bellen iets wat ze waarschijnlijk wel snel doen want "jullie hebben het geleverd dus jullie weten dat wel" .
Dat zal vast de aanleiding zijn dat Peter's werk destijds koos voor 'een mailbox is ook een archief met zoekfunctie' .
(desnoods ook voor de ISP, als de klant toch belt is zoeken in de sent folder snel en simpel).
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
