英国、IT機器の推測しやすいデフォルトパスワードを禁止する法案を導入 53
ストーリー by nagazou
法案 部門より
法案 部門より
イギリス政府は11月24日、推測しやすいデフォルトパスワードを禁止する法律「Product Security and Telecommunications Infrastructure Bill: PSTI」を導入したと発表した。導入の背景には、タブレット、スマートTVといったインターネット接続可能なIoT機器などスマート家電のセキュリティを強化する目的があるとしている。また、フィットネストラッカーやスマート電球のような直接インターネットに接続しない製品もPSTIの対象になるようだ(英国政府リリース、Engadget、GIGAZINE、iPhone Mania)。
この法律では「password」や「admin」など外部から推測しやすいデフォルトのパスワードを禁止し、新しい機器に搭載されるすべてのパスワードは、それぞれ固有のものでなければならないとしている。またユーザーに対して、キュリティパッチやアップデートの提供予定を伝える義務をメーカーに課している。また提供予定がない場合、それをユーザーに告知する義務もある。なお違反した場合、最大1000万ポンド(約15億2610万円)あるいは世界市場での売上げの4%が罰金として科せられるとしている。
この法律では「password」や「admin」など外部から推測しやすいデフォルトのパスワードを禁止し、新しい機器に搭載されるすべてのパスワードは、それぞれ固有のものでなければならないとしている。またユーザーに対して、キュリティパッチやアップデートの提供予定を伝える義務をメーカーに課している。また提供予定がない場合、それをユーザーに告知する義務もある。なお違反した場合、最大1000万ポンド(約15億2610万円)あるいは世界市場での売上げの4%が罰金として科せられるとしている。
日本は昨年4月に導入済み (スコア:3, 興味深い)
端末設備等規則の一部改正(概要) [soumu.go.jp][PDF]
端末設備等規則第34条の10 [e-gov.go.jp]
スラドでは誰もタレこんでなかったのか
Re: (スコア:0)
スラドにいる連中が情報強者だとでも思っていたのか
Re: (スコア:0)
うん。だから珍しいなぁって。それだけ。
ネットワーク複合機とか (スコア:0)
企業に納入されてるネットワーク複合機とかICカードで認証しないと印刷出来ないようにしてたのに
複合機の管理者アカウントのパスワードがデフォルトのまんまだったりしたが
出向の身だったので言うと面倒事になりそうなのでそのままにしといた事があったなぁ
Re: (スコア:0)
cisco, ciscoでログインできるルーターは違法設備になるのか。
罰則がないので意味がない (スコア:0)
日本の企業は「努力義務規定」は基本的に無視するし。
罰則があっても軽ければやはり無視して、立件された時に「経費」にする程度にしか考えてない。
違反したら経営者が懲役食らうとか会社が潰れる巨額の課徴金が規定されて、ようやく守る。
ブラック企業がこんだけ蔓延してる理由だよ。
Re: (スコア:0)
Google/MS/Twitter/Facebook「また日本だけ症候群発症コメか?」
Re: (スコア:0)
そのあたりが従業員を食い物にするブラック企業って話は聞かないな。
Uberとか偽装事業主を食いつぶすやり方は日本の偽装請負を参考にされた可能性がある。
Re: (スコア:0)
そりゃ寄り好んで聞いてるからだろうね
Re: (スコア:0)
もしかして: 選り好んで
Re: (スコア:0)
労基違反でカリフォルニアで罰金払った事あるアップルの名前無いのは意図的かな?
…まあ休憩なしで連続5時間勤務が続いたらアウトは日本じゃノーカンだろうけど。
Re: (スコア:0)
日本の場合
経営者「労基法を守ってたら会社がつぶれる」
労基「会社を潰してしまうのは労働者の利益にならない」
警察「シラネーヨ」
これ、機器だけでなく契約とかも (スコア:0)
先生、レンタルクラウドサーバはIT機器に入りますか?
入りますよね。
ネットワークサービス一般の初期パスワードもランダム化しないといけませんよね
まあ、判ってるでしょうけど。
こないだ契約したスマホSIMの初期アクセスコードが0000だったのでちょっとね。
Re: (スコア:0)
物理アクセス鍵の初期パスワードは対象外では?
試してみるやつ (スコア:0)
試しに「admin」とか「password」ってパスワードを入力したやつをつかまえる法律、は意味がないか。
付箋 (スコア:0)
イギリスではパスワードが必要な機器に
パスワードが書かれた付箋や紙が必ず付いている
そういう近い未来が見える
パスワードから人類が解放される未来は来るのだろうか
ハードウェアキーやソフトウェアでパスワードレスにする方法もあるけど
ぶっ壊れたら結局パスワードが必要に・・・・
Re: (スコア:0)
スマート電球にもパスワード辞書が増え続ける未来か。
そして「推測しやすい」も多重化して、
推測を回避しやすい定番パスが推測攻撃しやすくなり、
また推測自体の国文化も取り入れてますますとんでも無いことに。。
Re: (スコア:0)
プリンタを後継製品に変えたら、以前は使えていたデフォルトパスワードが通らないので、よくよく説明書見たら「本体の後ろ見てね」と書いてありました…これはいいのかな?
× IT機器 〇 IoT機器 (スコア:0)
nagazouくんさぁ……
Re: (スコア:0)
リンク先の法案にはIoTの文字すらないが、何が間違ってんの?
Re: (スコア:0)
イギリス政府のリリースの方には
> And, in the first half of 2021, there were 1.5 billion attempted compromises of Internet of Things (IoT) devices, double the 2020 figure.
とあるぞ。
Re: (スコア:0)
そこ以外にはネットに繋がってる機器や単にDeviceともあるし、ITでも問題ないのでは。
Re: (スコア:0)
「password」や「admin」など安易なパスワードをデフォルトに設定することを禁じる法案をイギリス政府が提出 - GIGAZINE [gigazine.net]
英国でIoT機器の共通デフォルトパスワードを禁止する法案成立。違反機器は販売禁止に - Engadget 日本版 [engadget.com]
法案 [parliament.uk]そのものにはIoTの文字は使われていないが、リンク先の英国政府リリースによると
Re: (スコア:0)
ToT
Re: (スコア:0)
〇IT機器 ×IoT機器
今回はIT機器の方が適切だと思うな。
スマホやタブレットパソコンなどはIoTってよりもIT機器と呼ばれることの方が多いし、そういうデバイスをも内包した話だから。
メーカーが初期パスワードを決めればいい (スコア:0)
多くの人は初期パスワードそのままにしそうなので、
メーカーがランダムパスワードをつけて、パスワード印刷した紙を同封しとけばいい
Re: (スコア:0)
A「紙?そんなもん入ってなかったぞ」
B「こんな小さい字が読めるか!」
C「捨ててしもうたのう」
D「英語はわからん」
Re:メーカーが初期パスワードを決めればいい (スコア:1)
本体に書いときゃ無くさないだろ
https://www.aterm.jp/function/wg1200hs2/guide/check_ssid.html [aterm.jp]
先駆者の英断 (スコア:0)
パスワードを本体に貼り付けて売ろうって勇気は中々持てないと思う。
Re: (スコア:0)
なんで? 他社の同等品はちがうの?
工場出荷時に戻して有線接続で設定するときしか使わないんだから、
そこに書いてあれば便利じゃん。
Re: (スコア:0)
最近のはみんな書いてあるイメージあるけどな
Re: (スコア:0)
手持ちだとELECOMとLinksysはラベルにパスワードが書いてあるな。
Re: (スコア:0)
楽天通称パンダルータは、本体のボタンを押すとパスワードとSSIDが表示される。お置き忘れたら使い放題。
Re: (スコア:0)
ネットワーク機器とかでは、筐体に貼ってあるラベルの内容を、ネットワーク経由じゃなくてシリアルコンソールから入れれば、
設定をリセットできるみたいなのがあるな
もしろん、設定でその機能を無効にすることも可能
Re: (スコア:0)
E「そんなの普通読まないでしょ?」
Re: (スコア:0)
多くの人は初期パスワードそのままにしそうなので、
メーカーがランダムパスワードをつけて、パスワード印刷した紙を同封しとけばいい
その考え方からしてアカンでしょう
多くの人は設定画面見ても何がなんだかわからんのだから
設定画面もそこに入るパスワードも必要ない作りにすれば良い
分かってる逸般人を基準に一般機器を作ってはいけない
# QRコードとかNFCとかや利用はあるわけで
イギリスと言えば (スコア:0)
Raspberry Piだがマトモなパスワードにするのかな?
ついでに (スコア:0)
「秘密の質問」でのパスワードリセット機構も禁止にしてほしい。
あれの答えが漏洩すると意味がない上、「秘密の質問」の回答を修正できないシステムも少なからずあり、恒久的にリスクに晒されることになる。
(まあ「最初に飼ったペットの名前」とか「卒業した小学校」とか、まず変わらんのは事実だけど)
そうでなくとも身近な人経由やソーシャルエンジニアリングで漏洩するリスクもあるんだから、ユーザーを危険に晒している点では、かなり害悪な筈なのだが。
# 適当な文字いれても他サイトと共有したら漏洩対策の意味がないし
# サイトごとに「秘密の質問」の回答を記録して管理するなら個別のパスワードで事足りる
Re: (スコア:0)
正しい答えを入力しちゃのがいけないんだよ。あれは第二のパスワードとして扱う項目。
「卒業した小学校」→「家から徒歩20分、坂の上の学校」みたいに入力すべき。
なんて適当に入れてたら不正アクセスの疑いでアカウントロック→運営に身分証明書を要求され→生年月日など身分証と一致しないからロック解除できずと、正しいパスワード分かるのにアクセスできなくなることもあるけどさw
#生年月日とメアドでリセットとかもやめて
Re:ついでに (スコア:1)
質問も入れられると良いと思ってるんだよね
そんで質問も見せてくれるの
そしたら「hogehoge.comにいつのもソルトを添えてハッシュ」とか書けるのに
Re: (スコア:0)
日本語入力の自由度が高すぎるのも問題なんだよな
あれ?20分って半角だっけ?句読点は?で正しい答えも正しい文章にならないw
で同じ回答ばかり入力して暗号強度が下がるという
ほんとクソ機能
Re: (スコア:0)
正しい答えを入力しちゃのがいけないんだよ。あれは第二のパスワードとして扱う項目。
「卒業した小学校」→「家から徒歩20分、坂の上の学校」みたいに入力すべき。
サービスごとに違う表現にすると、いざ要求されても正しい表現で答えられない。
複数サービスで同じ表現にすると、どこかが漏洩したら芋づる式に抜かれる。
ソーシャルエンジニアリング対策にはなっても、辞書攻撃に弱いのは変わらない。
Re: (スコア:0)
パスワード使いまわしてそう
Re: (スコア:0)
「秘密の質問」の質問も忘れやすい
かといっていろんなサイトで統一したらパスワードの使いまわしと同じだし
Re: (スコア:0)
秘密の質問に本当のことを入れる必要は無い
おれはその手のには、とあるアニメに出てくる学校や登場人物で統一してる
忘れたら、wikipediaみればわかる
Re: (スコア:0)
誰でもリセットできてしまうよりは、秘密の質問を正しく答えられないとリセットできない方がマシだと思う。
メールアカウントをクラックされたとしても、それに紐づけされたサービスまでアクセスされる可能性は少し下げられる。
だが待ってほしい (スコア:0)
passwordやadminなどはあり得ないと除外しては総当たりで突破しやすくなるのでは?
むしろ「ちゃんとした」パスワードを設定している人を危険に晒す悪法だ!!
ところで (スコア:0)
scott のパスワードが tiger なのも禁止されますか?
Re: (スコア:0)
それはもうなくなった
Re: (スコア:0)
scott「アカウント無効にされたった」
tiger「にゃー!」