加州議會通過全美首個IoT法案，要求每個IoT裝置都要有獨立密碼

加州議會於上周通過全美第一個物聯網（IoT）裝置的資訊隱私法案《Information Privacy: Connected Devices》，待加州州長Jerry Brown簽署之後預計於2020年的1月生效，成為美國第一個IoT法案。

該法案主要規定IoT裝置的製造商必須提供合理的安全功能，明確規範任何可自區域網路之外登入的連網裝置都必須符合以下兩者之一的身分認證規定，一是若裝置使用的是預設密碼，那麼每個裝置所配置的預設密碼都必須是獨特的，二則是在使用者首次設定該裝置時，必須提醒使用者設定自己的密碼。

此一法案很明顯是針對IoT裝置經常採用同樣的預設密碼且使用者經常未變更密碼而造成的攻擊行動而來，特別是在IoT裝置已成為大規模服務阻斷攻擊（DDoS）重要媒介的現代。

然而，除了密碼的部份之外，《Information Privacy: Connected Devices》對IoT裝置的其它安全規範則隻字未提，安全社群認為，該法案的立意良好，但在安全的保障上太薄弱了。

因為目前的IoT裝置還面臨著密碼之外的其它風險，包含未加密的韌體更新，未加密的監視器影像串流畫面，或者是以明文與伺服器通訊等。

安全社群認為，一個完整的IoT法案對於裝置上每個元件都應訂定可供製造商遵循的安全標準，也必須能驗證裝置是否符合這些標準。