Gå til innhold

California forbyr standard­passord i elektronikk

Gjest Marius B. Jørgenrud

Av Gjest Marius B. Jørgenrud
i Diskuter artikler (Digi.no)

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
Gjest Slettet-Pqy3rC

Gjest Slettet-Pqy3rC

Skrevet
Skrevet

Du snakker om statlig "babysitting"!

 

Vel, det er da duket for at alle som somler bort vedlagt dokumentasjon får et alvorlig problem. Videre blir vel "factory reset" helt meningsløst (om en ikke har original docs), noe som vil hindre bruktsalg av det meste.

Lenke til kommentar
ilpostino

ilpostino

Skrevet
Skrevet

Jeg skjønner hvorfor men dette kan gjøre ting svært vanskelige for IKT-konsulenter da de må ha forskjellige passord for hvert sted. Er det flere konsulenter som deler på kunder må disse felles passordene lagres et eller annet sted og det kan være sikkerhetsbrist i seg selv.

  • Liker 1
Lenke til kommentar
Gjest Slettet-Pqy3rC

Gjest Slettet-Pqy3rC

Skrevet
Skrevet

Ad. min post over;
 

Loven krever blant annet at ferdig installerte brukerkontoer må være unike for hver enhet.

 

Dette blir nærmest ubrukelig (unntak: leverandør eier dingsen)
 

Alternativt en sikkerhetsmekanisme der brukeren setter opp egen adgang før utstyret kan tas i bruk første gang.

 

Dette kan gå an, da blir det iallefal mulig å resette/videreselge dingser.

Lenke til kommentar
missi

missi

Skrevet
Skrevet

Ser ikke problemet. Har kjøpt og brukt sånn utstyr i flere år. Det unike passordet er på en klistrelapp på baksiden av den aktuelle boksen.

 

Synes dette er et bra forslag. Og st det blir verre for konsulentene? Du er en ræva konsulent om du ikke vedlig sterkt oppfordrer kundene dine til å fjerne standardpassordet fort som faen.

  • Liker 4
Lenke til kommentar
NULL

NULL

Skrevet
Skrevet (endret)

 

 


Du snakker om statlig "babysitting"!

 

Vel, det er da duket for at alle som somler bort vedlagt dokumentasjon får et alvorlig problem. Videre blir vel "factory reset" helt meningsløst (om en ikke har original docs), noe som vil hindre bruktsalg av det meste.

 

Ikke vanskeligere enn hvordan en rekke aktører gjør det i dag: Under førstegangsinstallasjonen må passord settes. Ved factory reset må nytt passord settes.


 

Nei, det er standardpassord fra fabrikk som forbys. Ikke at en konsulent har brukt det samme passordet på flere enheter.

 

Så kan man jo spørre hvor smart det er av konsulenten å bruke samme passordet overalt, i stedet for å ha et godt system som holder rede på passordene som brukes rundt om kring.

 

 


 

Kan vell ikke være vanskeligere enn at enheten ikke vil kunne brukes før brukeren har endret passordet, det vi får nå er standard passord syntax noe alle hva som skjedde med Telenor for noen år siden.

 

Ja, det må ikke være mulig å "reversere" seg fram til passordet, fordi det er basert på en algoritme som tar utgangspunkt i serienummer, MAC o.l.

 

Videre kan man se en del utstyr som har unike passord, men der passordene er dårlige - f.eks. 8 siffer som kode. Det er en del soho-rutere som har 8 siffer som default WPA2-passord.

Endret av Uderzo
flettet 3 innlegg
  • Liker 1
Lenke til kommentar
barfoo

barfoo

Skrevet
Skrevet

Jeg skjønner hvorfor men dette kan gjøre ting svært vanskelige for IKT-konsulenter da de må ha forskjellige passord for hvert sted. Er det flere konsulenter som deler på kunder må disse felles passordene lagres et eller annet sted og det kan være sikkerhetsbrist i seg selv.

Altså.

 

Om du som konsulent lar kundene ha utstyr i sitt nett med standardpassord som du ikke har endret har du ikke gjort jobben din. Du har opptrådt grovt uansvarlig.

 

Å dele passord finst det løsninger for. F.eks. lastpass enterprise er skyløsning som du kan ha oppe på få minutter. Det finst mange lignende løsninger.

 

Standardpassord vil alltid være større sikkerhetsbrist.

  • Liker 2
Lenke til kommentar
Aim insect oil

Aim insect oil

Skrevet
Skrevet

Du snakker om statlig "babysitting"!

 

Vel, det er da duket for at alle som somler bort vedlagt dokumentasjon får et alvorlig problem. Videre blir vel "factory reset" helt meningsløst (om en ikke har original docs), noe som vil hindre bruktsalg av det meste.

 

Enkelt å komme rundt ved å bruke f.eks macadresse som passord. Det er samtidig meningsløst ettersom det er like enkelt å hacke

 

evt. en QR kode med innebygget default passord

Lenke til kommentar
puds

puds

Skrevet
Skrevet

Endelig ITV utstyr har oppsett slik at ved første oppstart, blir du først ledet gjennom en "sette passord" rutine. Man kan der enkelt sette likt passord på alt utstyr om man ønsker, men unngår admin/admin problematikken.

Lenke til kommentar
Frobe

Frobe

Skrevet
Skrevet

Hva med et krav om at produsentene må gi ut oppdateringer når det oppdages bakdører eller andre kritiske svakheter?

 

I noen ekstreme tilfeller bør det også være krav om at funksjonalitet må kunne slås av hvis sikkerhetsbristen er alvorlig nok.

  • Liker 3
Lenke til kommentar
NULL

NULL

Skrevet
Skrevet

Når det gjelder produkter som rutere og andre IoT-enheter, skulle det vært pålagt at produsenten presenterte en end-of-support-dato også når det gjelder oppdateringer, der de oppgir et minimum for hvor lenge de har tenkt å levere oppdateringer til produktet hvis det skulle være sikkerhetsproblemer.

  • Liker 3
Lenke til kommentar
Gjest Slettet-80wCWpIM

Gjest Slettet-80wCWpIM

Skrevet
Skrevet

Den desidert greieste løsningen er at alt utstyr krever at det må konfigureres et nytt passord før produktet kan bli tatt i bruk. Når alt er koblet til så må du logge deg på en web gui for å konfigurere enheten.

 

Problemstilling rundt kundeservice etc, factory reset er overdrevet, det er jo en lang rekke med gode alternativer.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...