パスワードを忘れた? アカウント作成
15499512 story
インターネット

英国、IT機器の推測しやすいデフォルトパスワードを禁止する法案を導入 53

ストーリー by nagazou
法案 部門より
イギリス政府は11月24日、推測しやすいデフォルトパスワードを禁止する法律「Product Security and Telecommunications Infrastructure Bill: PSTI」を導入したと発表した。導入の背景には、タブレット、スマートTVといったインターネット接続可能なIoT機器などスマート家電のセキュリティを強化する目的があるとしている。また、フィットネストラッカーやスマート電球のような直接インターネットに接続しない製品もPSTIの対象になるようだ(英国政府リリースEngadgetGIGAZINEiPhone Mania)。

この法律では「password」や「admin」など外部から推測しやすいデフォルトのパスワードを禁止し、新しい機器に搭載されるすべてのパスワードは、それぞれ固有のものでなければならないとしている。またユーザーに対して、キュリティパッチやアップデートの提供予定を伝える義務をメーカーに課している。また提供予定がない場合、それをユーザーに告知する義務もある。なお違反した場合、最大1000万ポンド(約15億2610万円)あるいは世界市場での売上げの4%が罰金として科せられるとしている。
  • by Anonymous Coward on 2021年11月30日 14時37分 (#4161007)

    端末設備等規則の一部改正(概要) [soumu.go.jp][PDF]

    【端末設備等規則(省令)の改正概要】
    インターネットプロトコルを使用し、電気通信回線設備を介して接続することにより、電気通信の送受信に係る機能を操作す
    ることが可能な端末設備について、最低限のセキュリティ対策として、以下の機能を具備することを技術基準(端末設備等規則)
    に追加する。
    ①アクセス制御機能※1
    ②アクセス制御の際に使用するID/パスワードの適切な設定を促す等の機能
    ③ファームウェアの更新機能※1
    又は ①~③と同等以上の機能※2

    端末設備等規則第34条の10 [e-gov.go.jp]

    二 前号のアクセス制御機能に係る識別符号(不正アクセス行為の禁止等に関する法律第二条第二項に規定する識別符号をいう。以下同じ。)であつて、初めて当該専用通信回線設備等端末を利用するときにあらかじめ設定されているもの(二以上の符号の組合せによる場合は、少なくとも一の符号に係るもの。)の変更を促す機能若しくはこれに準ずるものを有すること又は当該識別符号について当該専用通信回線設備等端末の機器ごとに異なるものが付されていること若しくはこれに準ずる措置が講じられていること。

    スラドでは誰もタレこんでなかったのか

    ここに返信
    • by Anonymous Coward

      スラドにいる連中が情報強者だとでも思っていたのか

      • by Anonymous Coward

        うん。だから珍しいなぁって。それだけ。

    • 企業に納入されてるネットワーク複合機とかICカードで認証しないと印刷出来ないようにしてたのに
      複合機の管理者アカウントのパスワードがデフォルトのまんまだったりしたが
      出向の身だったので言うと面倒事になりそうなのでそのままにしといた事があったなぁ

    • by Anonymous Coward

      cisco, ciscoでログインできるルーターは違法設備になるのか。

    • 日本の企業は「努力義務規定」は基本的に無視するし。
      罰則があっても軽ければやはり無視して、立件された時に「経費」にする程度にしか考えてない。

      違反したら経営者が懲役食らうとか会社が潰れる巨額の課徴金が規定されて、ようやく守る。
      ブラック企業がこんだけ蔓延してる理由だよ。

      • by Anonymous Coward

        Google/MS/Twitter/Facebook「また日本だけ症候群発症コメか?」

        • by Anonymous Coward

          そのあたりが従業員を食い物にするブラック企業って話は聞かないな。
          Uberとか偽装事業主を食いつぶすやり方は日本の偽装請負を参考にされた可能性がある。

          • by Anonymous Coward

            そりゃ寄り好んで聞いてるからだろうね

            • by Anonymous Coward

              もしかして: 選り好んで

        • by Anonymous Coward

          労基違反でカリフォルニアで罰金払った事あるアップルの名前無いのは意図的かな?

          …まあ休憩なしで連続5時間勤務が続いたらアウトは日本じゃノーカンだろうけど。

          • by Anonymous Coward

            日本の場合

            経営者「労基法を守ってたら会社がつぶれる」
            労基「会社を潰してしまうのは労働者の利益にならない」
            警察「シラネーヨ」

  • by Anonymous Coward on 2021年11月30日 14時09分 (#4160988)

    先生、レンタルクラウドサーバはIT機器に入りますか?
    入りますよね。
    ネットワークサービス一般の初期パスワードもランダム化しないといけませんよね
    まあ、判ってるでしょうけど。
    こないだ契約したスマホSIMの初期アクセスコードが0000だったのでちょっとね。

    ここに返信
    • by Anonymous Coward

      物理アクセス鍵の初期パスワードは対象外では?

  • by Anonymous Coward on 2021年11月30日 14時11分 (#4160989)

    試しに「admin」とか「password」ってパスワードを入力したやつをつかまえる法律、は意味がないか。

    ここに返信
  • by Anonymous Coward on 2021年11月30日 14時28分 (#4160997)

    イギリスではパスワードが必要な機器に
    パスワードが書かれた付箋や紙が必ず付いている
    そういう近い未来が見える

    パスワードから人類が解放される未来は来るのだろうか
    ハードウェアキーやソフトウェアでパスワードレスにする方法もあるけど
    ぶっ壊れたら結局パスワードが必要に・・・・

    ここに返信
    • by Anonymous Coward

      スマート電球にもパスワード辞書が増え続ける未来か。
      そして「推測しやすい」も多重化して、
      推測を回避しやすい定番パスが推測攻撃しやすくなり、
      また推測自体の国文化も取り入れてますますとんでも無いことに。。

    • by Anonymous Coward

      プリンタを後継製品に変えたら、以前は使えていたデフォルトパスワードが通らないので、よくよく説明書見たら「本体の後ろ見てね」と書いてありました…これはいいのかな?

  • by Anonymous Coward on 2021年11月30日 14時41分 (#4161010)

    nagazouくんさぁ……

    ここに返信
  • by Anonymous Coward on 2021年11月30日 14時49分 (#4161015)

    多くの人は初期パスワードそのままにしそうなので、
    メーカーがランダムパスワードをつけて、パスワード印刷した紙を同封しとけばいい

    ここに返信
    • by Anonymous Coward

      A「紙?そんなもん入ってなかったぞ」
      B「こんな小さい字が読めるか!」
      C「捨ててしもうたのう」
      D「英語はわからん」

      • by Anonymous Coward on 2021年11月30日 16時28分 (#4161096)

        本体に書いときゃ無くさないだろ
        https://www.aterm.jp/function/wg1200hs2/guide/check_ssid.html [aterm.jp]

        • by Anonymous Coward

          パスワードを本体に貼り付けて売ろうって勇気は中々持てないと思う。

          • by Anonymous Coward

            なんで? 他社の同等品はちがうの?
            工場出荷時に戻して有線接続で設定するときしか使わないんだから、
            そこに書いてあれば便利じゃん。

            • by Anonymous Coward

              最近のはみんな書いてあるイメージあるけどな

              • by Anonymous Coward

                手持ちだとELECOMとLinksysはラベルにパスワードが書いてあるな。

            • by Anonymous Coward

              楽天通称パンダルータは、本体のボタンを押すとパスワードとSSIDが表示される。お置き忘れたら使い放題。

      • by Anonymous Coward

        ネットワーク機器とかでは、筐体に貼ってあるラベルの内容を、ネットワーク経由じゃなくてシリアルコンソールから入れれば、
        設定をリセットできるみたいなのがあるな

        もしろん、設定でその機能を無効にすることも可能

      • by Anonymous Coward

        E「そんなの普通読まないでしょ?」

    • by Anonymous Coward

      多くの人は初期パスワードそのままにしそうなので、
      メーカーがランダムパスワードをつけて、パスワード印刷した紙を同封しとけばいい

      その考え方からしてアカンでしょう
      多くの人は設定画面見ても何がなんだかわからんのだから
      設定画面もそこに入るパスワードも必要ない作りにすれば良い
      分かってる逸般人を基準に一般機器を作ってはいけない

      # QRコードとかNFCとかや利用はあるわけで

  • by Anonymous Coward on 2021年11月30日 15時15分 (#4161034)

    Raspberry Piだがマトモなパスワードにするのかな?

    ここに返信
  • by Anonymous Coward on 2021年11月30日 15時38分 (#4161053)

    「秘密の質問」でのパスワードリセット機構も禁止にしてほしい。

    あれの答えが漏洩すると意味がない上、「秘密の質問」の回答を修正できないシステムも少なからずあり、恒久的にリスクに晒されることになる。
    (まあ「最初に飼ったペットの名前」とか「卒業した小学校」とか、まず変わらんのは事実だけど)

    そうでなくとも身近な人経由やソーシャルエンジニアリングで漏洩するリスクもあるんだから、ユーザーを危険に晒している点では、かなり害悪な筈なのだが。

    # 適当な文字いれても他サイトと共有したら漏洩対策の意味がないし
    # サイトごとに「秘密の質問」の回答を記録して管理するなら個別のパスワードで事足りる

    ここに返信
    • by Anonymous Coward

      正しい答えを入力しちゃのがいけないんだよ。あれは第二のパスワードとして扱う項目。
      「卒業した小学校」→「家から徒歩20分、坂の上の学校」みたいに入力すべき。

      なんて適当に入れてたら不正アクセスの疑いでアカウントロック→運営に身分証明書を要求され→生年月日など身分証と一致しないからロック解除できずと、正しいパスワード分かるのにアクセスできなくなることもあるけどさw

      #生年月日とメアドでリセットとかもやめて

      • by Anonymous Coward on 2021年11月30日 19時17分 (#4161231)

        質問も入れられると良いと思ってるんだよね
        そんで質問も見せてくれるの

        そしたら「hogehoge.comにいつのもソルトを添えてハッシュ」とか書けるのに

      • by Anonymous Coward

        日本語入力の自由度が高すぎるのも問題なんだよな
        あれ?20分って半角だっけ?句読点は?で正しい答えも正しい文章にならないw

        で同じ回答ばかり入力して暗号強度が下がるという
        ほんとクソ機能

      • by Anonymous Coward

        正しい答えを入力しちゃのがいけないんだよ。あれは第二のパスワードとして扱う項目。
        「卒業した小学校」→「家から徒歩20分、坂の上の学校」みたいに入力すべき。

        サービスごとに違う表現にすると、いざ要求されても正しい表現で答えられない。
        複数サービスで同じ表現にすると、どこかが漏洩したら芋づる式に抜かれる。

        ソーシャルエンジニアリング対策にはなっても、辞書攻撃に弱いのは変わらない。

        • by Anonymous Coward

          パスワード使いまわしてそう

    • by Anonymous Coward

      「秘密の質問」の質問も忘れやすい
      かといっていろんなサイトで統一したらパスワードの使いまわしと同じだし

    • by Anonymous Coward

      秘密の質問に本当のことを入れる必要は無い
      おれはその手のには、とあるアニメに出てくる学校や登場人物で統一してる
      忘れたら、wikipediaみればわかる

    • by Anonymous Coward

      誰でもリセットできてしまうよりは、秘密の質問を正しく答えられないとリセットできない方がマシだと思う。

      メールアカウントをクラックされたとしても、それに紐づけされたサービスまでアクセスされる可能性は少し下げられる。

  • by Anonymous Coward on 2021年11月30日 19時12分 (#4161227)

    passwordやadminなどはあり得ないと除外しては総当たりで突破しやすくなるのでは?
    むしろ「ちゃんとした」パスワードを設定している人を危険に晒す悪法だ!!

    ここに返信
  • by Anonymous Coward on 2021年11月30日 23時01分 (#4161332)

    scott のパスワードが tiger なのも禁止されますか?

    ここに返信
    • by Anonymous Coward

      それはもうなくなった

    • by Anonymous Coward

      scott「アカウント無効にされたった」
      tiger「にゃー!」

typodupeerror

弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家

読み込み中...