加州議會于上周通過全美第一個物聯(lián)網(wǎng)(IoT)裝置的信息隱私法案《Information Privacy: Connected Devices》，待加州州長Jerry Brown簽署之后預(yù)計于2020年的1月生效，成為美國第一個IoT法案。

　　該法案主要規(guī)定IoT裝置的制造商必須提供合理的安全功能，明確規(guī)范任何可自局域網(wǎng)絡(luò)之外登入的連網(wǎng)裝置都必須符合以下兩者之一的身分認(rèn)證規(guī)定，一是若裝置使用的是默認(rèn)密碼，那么每個裝置所配置的默認(rèn)密碼都必須是獨特的，二則是在用戶首次設(shè)定該裝置時，必須提醒用戶設(shè)定自己的密碼。

　　此一法案很明顯是針對IoT裝置經(jīng)常采用同樣的默認(rèn)密碼且用戶經(jīng)常未變更密碼而造成的攻擊行動而來，特別是在IoT裝置已成為大規(guī)模服務(wù)阻斷攻擊(DDoS)重要媒介的現(xiàn)代。

　　然而，除了密碼的部份之外，《Information Privacy: Connected Devices》對IoT裝置的其它安全規(guī)范則只字未提，安全社群認(rèn)為，該法案的立意良好，但在安全的保障上太薄弱了。

　　因為目前的IoT裝置還面臨著密碼之外的其它風(fēng)險，包含未加密的韌體更新，未加密的監(jiān)視器影像串流畫面，或者是以明文與服務(wù)器通訊等。

　　安全社群認(rèn)為，一個完整的IoT法案對于裝置上每個組件都應(yīng)訂定可供制造商遵循的安全標(biāo)準(zhǔn)，也必須能驗證裝置是否符合這些標(biāo)準(zhǔn)。