สหราชอาญาจักรเริ่มบังคับกฎหมาย IoT: ห้ามใช้รหัสผ่านซ้ำกัน, ต้องแจ้งอายุอัพเดต

By: lew
FounderJusci's WriterMEconomicsAndroid
on 29 April 2024 - 19:55 Tags:
Topics: 
United Kingdom
IoT
Security
Node Thumbnail

วันนี้กฎหมาย Product Security and Telecommunications Infrastructure (PSTI) ที่ตราเป็นกฎหมายสหราชอาณาจักรตั้งแต่ปี 2022 เริ่มบังคับใช้เป็นวันแรก (29 เมษายน 2024) ส่งผลให้สินค้าที่เชื่อมต่ออินเทอร์เน็ตในสหราชอาณาจักรต้องมีมาตรการความปลอดภัยเพิ่มเติม 3 ประการ ได้แก่

  1. รหัสผ่าน: ห้ามใช้รหัสผ่านที่คาดเดาได้ง่าย รวมถึงรหัสผ่านคาดเดาได้จากหมายเลขซีเรียลเครื่อง และรหัสต้องไม่เหมือนกันเลยในแต่ละชิ้นที่ขายไป
  2. เปิดเผยข้อมูลความปลอดภัย: เปิดให้คนทั่วไปเห็นว่าสินค้ามีช่องโหว่ความปลอดภัยอะไรบ้าง และแจ้งสถานะการแก้ไข
  3. ระยะเวลาแพตช์: บอกช่วงเวลาที่สัญญาว่าผู้ผลิตจะออกแพตช์อุดช่องโหว่ความปลอดภัยให้

กฎหมายฉบับนี้มี Office for Product Safety and Standards (OPSS) เป็นผู้บังคับใช้ โดยทาง OPSS มีอำนาจในการสั่งห้ามขายหรือเรียกคืนสินค้าที่ไม่ทำตามข้อกำหนด รวมถึงสามารถสั่งปรับ

ที่มา - Gov.UK

No Description

Get latest news from Blognone

Comments

By: Yoshimura on 29 April 2024 - 20:10 #1310755
Yoshimura's picture

กำลังจะง้างข้อ 1 แต่พอไปอ่านหัวข้อต้นทางแล้วก็โอเค

"Passwords must be unique per product; or capable of being defined by the user of the product.

Paragraph 1(3) of schedule 1 to the Regulations provides further requirements that relate to passwords which are unique per product. They must not be based on incremental counters; based on or derived from publicly available information; based on or derived from unique product identifiers, such as a serial number unless this is done using an encryption method, or keyed hashing algorithm, that is accepted as part of good industry practice; or otherwise easily guessable."

By: lew
FounderJusci's WriterMEconomicsAndroid
on 30 April 2024 - 05:37 #1310772 Reply to:1310755
lew's picture

มีประเด็นไหนที่ผมละไว้แล้วควรเพิ่มถึงแก้ความเข้าใจผิดไหมครับ จะได้ปรับปรุงได้

lewcpe.com, @wasonliw

By: Yoshimura on 30 April 2024 - 15:14 #1310812 Reply to:1310772
Yoshimura's picture

น่าจะเพิ่มนิดนึงตรงที่กำหนดให้ผู้ใช้งานต้องตั้งรหัสผ่านก่อนการใช้งานหรือหลังจากคืนค่าโรงงาน หรือให้อ้างอิงการกำหนดรหัสผ่านเริ่มแรกตามมาตรฐาน GIP ฮะ เพราะเราอ่านแปลไทยตอนแรกดันเข้าใจว่าห้ามกำหนดตายตัวอย่างเดียวไปเลย เกิดผู้ใช้งานลืมขึ้นมาคือต้องโยนสินค้าทิ้งอย่างเดียว

By: poa
Android
on 29 April 2024 - 21:09 #1310759

จบกัน admin/admin

By: btoy
ContributorAndroidWindows
on 30 April 2024 - 10:47 #1310788 Reply to:1310759
btoy's picture

555+

..: เรื่อยไป

By: Hoo
AndroidWindows
on 29 April 2024 - 23:38 #1310768

ไม่แน่ใจข้อ 1
จะมี default password แยกแปะมาในคู่มือ?
ถ้าใช้ๆไปแล้วลืม password ที่ตัวเองตั้ง แถมคู่มือหาย
จบเลย?

By: deaknaew on 30 April 2024 - 00:29 #1310770 Reply to:1310768

จริงๆแปะไว้หลังเครื่องแบบ cdkey windows แต่ก่อนก็ได้มั้ง

By: lew
FounderJusci's WriterMEconomicsAndroid
on 30 April 2024 - 05:39 #1310773 Reply to:1310768
lew's picture

มีทางอื่นเยอะครับ เช่น ปุ่ม factory reset แล้วไม่ต้องมี default password เลย เปิดใช้งานไม่ได้หากไม่ได้ตั้งรหัสผ่านเองครั้งแรก

หรือรหัสผ่านเริ่มต้น derive จาก serial ได้ในรูปแบบที่ปลอดภัย (คนร้ายเดากันเองไม่ได้) เช่น ใช้ secure hash + key ก็อาจจะเอาไปเข้าศูนย์ได้

lewcpe.com, @wasonliw

By: qweret
AndroidWindowsIn Love
on 30 April 2024 - 09:12 #1310777 Reply to:1310768
qweret's picture

นึกถึงพวกเร้าเตอร์ที่แปะไว้ใต้เครื่องเลย

By: ZeaBiscuit
iPhoneAndroidUbuntuWindows
on 30 April 2024 - 11:50 #1310794
ZeaBiscuit's picture

น่าจะเหมือน Mikrotik ตอนนี้
เมื่อก่อน admin/no password
ตอนนี้ admin/password แปะอยู่ใต้เครื่อง แต่ถ้าสั่ง reset ใหม่ จะกลับไปเป็นแบบ no password เหมือนเดิม

ตอนแรกโคตรขัดใจ เพราะวุ่นวายเวลา setup มาก ยิ่งมีหลายๆตัว ยิ่งปวดหัว

By: shub on 30 April 2024 - 16:11 #1310817

รหัสต้องไม่เหมือนกันเลยในแต่ละชิ้นที่ขายไป งี้ถ้าตั้งแล้วซ้ำแสดงว่าต้องเป็นรหัสใครสักคนที่เคยตั้งไว้แล้วสินะ