Britse overheid wil verbod op standaard wachtwoorden voor IoT-apparaten

[Captain Kirk]

De Britse overheid werkt aan wetgeving die standaard wachtwoorden voor Internet of Things-apparaten, smartphones en computers verbiedt. Ook moeten fabrikanten duidelijk maken hoelang ze hun apparatuur van beveiligingsupdates blijven voorzien en waar onderzoekers gevonden kwetsbaarheden kunnen melden.

Dat staat in een wetsvoorstel waar Britse burgers op kunnen reageren. Het is voor het eerst dat de Britse overheid een gedetailleerd wetsvoorstel openbaar maakt en het publiek om reacties vraagt, zo meldt het Britse National Cyber Security Centre (NCSC). Volgens Matt Warman, minister voor Digitale Infrastructuur, moet de wetgeving voor veiligere smart producten zorgen.

Het gaat echter niet alleen om IoT-apparatuur voor eindgebruikers. Ten opzichte van een eerdere versie van het voorstel zijn ook smartphones, laptops en pc's toegevoegd. Voor dergelijke apparatuur gelden straks drie voorwaarden. Producten die niet aan deze eisen voldoen mogen, als het wetsvoorstel wordt aangenomen, niet in het Verenigd Koninkrijk worden verkocht.

De eerste eis is een verbod op het leveren van producten met standaard wachtwoorden. Daarbij is de Britse overheid ook van plan om unieke wachtwoorden te verbieden als die eenvoudig te raden zijn. Het niet gebruik van wachtwoorden is volgens de overheid de eenvoudigste manier om aan deze eis te voldoen. Gebruikers zouden in plaats van een wachtwoord via een app verbinding met hun apparaat kunnen maken. Wanneer een wachtwoord toch is vereist, zou dit door de gebruiker zelf moeten worden opgegeven.

De tweede vereiste is een methode voor onderzoekers om kwetsbaarheden te rapporteren. Via een vulnerability disclosure policy moeten fabrikanten laten weten hoe ze zijn te benaderen en hoe er met ontvangen bugmeldingen wordt omgegaan. Volgens het NCSC zal deze eis ervoor zorgen dat wanneer een kwetsbaarheid in een product wordt gevonden, die sneller zal worden verholpen.

Als derde en laatste vereiste moeten fabrikanten duidelijk maken hoelang ze een product van beveiligingsupdates blijven voorzien. Deze periode moet op een toegankelijke manier worden gepubliceerd die duidelijk en transparant voor gebruikers is. "Het is voor veel producten nog steeds onduidelijk hoelang ze worden ondersteund, wat het lastig voor consumenten maakt om te bepalen of ze risico lopen", stelt het NCSC.

Britse burgers kunnen tot 6 september dit jaar op het wetsvoorstel reageren. Wanneer de wet wordt aangenomen hebben fabrikanten, zoals nu wordt voorgesteld, negen maanden de tijd om met standaard wachtwoorden te stoppen. Het doorgeven van de updateperiode moet binnen zes maanden zijn geregeld, terwijl voor het opstellen van de vulnerability disclosure policy drie maanden is genomen.

 

bron: security.nl