A partire dalla giornata di ieri, 29 aprile 2024, la Gran Bretagna è il primo paese al mondo che vieterà le “password predefinite“, considerate troppo semplici e dunque facili da violare.
Si tratta di un’iniziativa che riguarda i sistemi IoT (Internet of Things), come smart TV o dispositivi simili, che mira a limitare i rischi globali per quanto concerne operazioni malware sempre più aggressive.
L’iniziativa è mirata ad evitare casi come quanto avvenuto con Mirai. Il malware in questione, nel 2016, ha iniziato a sfruttare dispositivi IoT per creare una enorme botnet, a sua volta utilizzata per dirigere attacchi DDoS mirati. La chiave del successo di Mirai, infatti, è stata proprio l’utilizzo diffuso di password troppo semplici come “admin” e “12345“.
La legge di cui stiamo parlando riguarda le impostazioni predefinite dei prodotti hardware commercializzati. Le aziende, dunque, sono ora tenute a proporre password univoche al momento della vendita, con un sistema che consenta ai clienti di segnalare in modo tempestivo eventuali criticità per quanto concerne la sicurezza.
Password troppo semplici? La Gran Bretagna vuole evitare altri casi come Mirai
A quanto pare, il Regno Unito ha preso seriamente la questione. Le compagnie che non si adegueranno a questa politica, infatti, possono essere sanzionate con multe fino a 10 milioni di sterline (circa 11,7 milioni di euro) o al 4% del loro fatturato mondiale.
Va comunque puntualizzato come la Gran Bretagna non è l’unico paese che si sta muovendo in questo senso. Anche negli Stati Uniti, infatti, si sta lavorando per proporre una certificazione (denominata US Cyber Trust Mark) nel contesto di dispositivi IoT e password predefinite.
Nonostante ciò, quanto avviene sul territorio statunitense non è altro che un marchio applicato alle confezioni dei dispositivi che, di fatto, non rappresenta un obbligo per i produttori.
Anche in Italia, la questione è alquanto delicata: basta dare un’occhiata alla lista delle password più diffuse per capire quanto i rischi siano elevati.