Onveilige wachtwoorden verboden

login-1203603

De Amerikaanse staat Californië heeft een wet ‘Security of Connected Devices’ uitgevaardigd die het gebruik van standaardwachtwoorden voor IoT-apparaten verbiedt per 1 januari 2020.

Dat is dan niet een wachtwoord uit een bestaande lijst (die makkelijk op internet te vinden zijn); uitdrukkelijk wordt gesteld dat elk apparaat een uniek eigen wachtwoord moet hebben, dat ook nog eens door de gebruiker te wijzigen is voordat het apparaat via internet of bluetooth wordt benaderd. Verder stelt de wet dat het de leverancier verboden is om de verkopende winkel te verplichten speciale software te gebruiken, of het de klant onmogelijk te maken om nieuwe firmware te installeren of anderzijds te beperken in zijn gebruik van het apparaat.

Het is natuurlijk een nobel streven om te maken dat wacht­woorden voor een bepaald type apparaat uniek zijn, er zijn voorbeelden te over van hoe dit in de praktijk vaak fout gaat. Er zijn ook wel leveranciers die al heel lang apparaten voorzien van unieke wachtwoorden, maar dat kost natuurlijk wel wat: in de fabriek moet elk apparaat uniek geprogrammeerd worden, en er moet iets bijgevoegd worden zodat de klant kan weten wat het wachtwoord is. Er bestaat het gevaar dat teruggevallen wordt op een eenvoudige methode waarbij wel voldaan wordt aan de eis van de wet, maar waarbij het wachtwoord wel geheel voorspelbaar is. Dit is als het wachtwoord wordt afgeleid (via een bepaald algoritme) van het 48-bits ‘MAC’ adres (netwerkadres), of van het serienummer. Deze methode is in het verleden al vaak gebruikt, en ook al is het algoritme om vanuit het MAC-adres/serienummer naar het wachtwoord te komen geheimgehouden, hackers kwamen er uiteindelijk toch steeds achter. Dus of de Californische wet enig effect gaat hebben, valt nog te bezien.

Rob Hulsebos