信息來(lái)源：開源中國(guó)

據(jù) techcrunch 報(bào)導(dǎo)，前幾日，加州通過(guò)了一項(xiàng)法律，2020 年之后禁止在所有新的消費(fèi)電子產(chǎn)品中使用“admin”、“123456”和經(jīng)典的“password”這樣的默認(rèn)密碼。

從路由器到智能家居技術(shù)在該州建造的每個(gè)新設(shè)備都必須具有開箱即用的“合理”安全功能，法律特別要求每個(gè)設(shè)備都帶有“每個(gè)設(shè)備獨(dú)有的”預(yù)編程密碼。它還要求任何新設(shè)備“包含一個(gè)安全功能，要求用戶在首次授予設(shè)備訪問(wèn)權(quán)限之前生成新的身份驗(yàn)證方法”，在第一次打開時(shí)強(qiáng)制用戶將其唯一密碼更改為新的密碼。

弱密碼問(wèn)題一直是黑客進(jìn)行攻擊利用的有效且低成本手段，多年來(lái)，僵尸網(wǎng)絡(luò)利用了安全性較差的連接設(shè)備的強(qiáng)大功能，在網(wǎng)站上擁有大量的互聯(lián)網(wǎng)流量，也就是所謂的分布式拒絕服務(wù)（DDoS）攻擊。僵尸網(wǎng)絡(luò)通常依賴于默認(rèn)密碼，這些密碼在構(gòu)建時(shí)被硬編碼到設(shè)備中，用戶以后不會(huì)對(duì)其進(jìn)行更改。

惡意軟件使用公開的默認(rèn)密碼侵入設(shè)備，劫持設(shè)備并誘使設(shè)備在用戶不知情的情況下進(jìn)行網(wǎng)絡(luò)攻擊。兩年前，臭名昭著的 Mirai 僵尸網(wǎng)絡(luò)將成千上萬(wàn)的設(shè)備拖到了目標(biāo) Dyn，這是一家為主要網(wǎng)站提供域名服務(wù)的網(wǎng)絡(luò)公司。通過(guò)使 Dyn 無(wú)法正常解析域名，導(dǎo)致其它依賴其服務(wù)的網(wǎng)站也無(wú)法訪問(wèn)，造成在大面積的網(wǎng)絡(luò)癱瘓。簡(jiǎn)單的 Mirai 能夠造成大損失的很大原因就在于利用了設(shè)備默認(rèn)的簡(jiǎn)單密碼。

雖然新法可以防止這類僵尸網(wǎng)絡(luò)，但卻無(wú)法解決更廣泛的安全問(wèn)題，比如有些攻擊是不需要猜測(cè)密碼的，另一方面，該法律并未要求設(shè)備制造商在發(fā)現(xiàn)錯(cuò)誤時(shí)更新其軟件，像亞馬遜、蘋果和谷歌這樣的大型設(shè)備制造商確實(shí)會(huì)更新他們的軟件，但更多鮮為人知的品牌卻不會(huì)這樣做。

然而這畢竟是在為保證網(wǎng)絡(luò)安全邁出的一小步，也許可以避免“騰訊員工因?qū)频?Wi-Fi 服務(wù)器是否存在漏洞產(chǎn)生好奇并選擇黑入，結(jié)果成功被捕”這樣的事。你覺(jué)得怎么樣？