超越SB-327:迈向真正的物联网安全

改变的最初步骤

SB-327的起草者选择将默认的制造商密码替换为个人的、预先分配的密码——假设物联网设备是不安全的，因为用于保护它们的密码是问题所在——而不是认识到使用密码的方法已经过时。这凸显了一个事实，即基于现代、无密码技术的更强身份验证的进展过于缓慢，无法保护我们免受全球范围内灵活而有能力的攻击者的攻击。

问题之所以持续存在，并不是因为缺乏替代方案。FIDO联盟是一个非盈利标准组织，由来自世界各地的200多家公司组成，已经工作了5年多消除密码从互联网上。它标准化了三种协议，这些协议在过去四年里已经在市场上有了几十种实现。我们缺少的是对这种系统存在的认识，以及利用它们来保护我们自己的决心。

如果立法者了解得更好，他们可能会选择在这项法律中推荐FIDO协议。2017年，NIST发布了“特殊出版物800-63-3，数字身份指南”，命名基于fido的技术为联邦使用的最高级别认证技术保证。

可以说，这个组织把钱用在了嘴边。NIST国家网络安全卓越中心(NCCoE)已经成功完成了两个项目，并正在进行第三个项目，其中FIDO协议被专门选择来解决公共安全和第一反应者的关键任务问题，以及减轻互联网上的电子商务欺诈风险。NCCoE也发布了实践指南，以帮助任何选择采用这种高级认证能力的人。

此外，美国多个联邦机构开始将基于fido的身份验证技术纳入其网络应用，而英国政府已将部署基于fido的强身份验证列为其五年网络安全计划中最重要的举措之一。

无密码的机会

sb327将在几个月后生效。这为一些有创业精神的公司提供了一个进入这个新领域的机会，他们可以用一个更好的替代方案来验证人与设备之间的身份。这些身份验证设备中绝大多数只需要基本的通用第二个因素协议，可以将第一个U2F密钥作为管理员密钥向设备注册。

因此，物联网设备永远不需要存储超过两个注册密钥。制造商在为他们的特定设备设计东西时，可以对协议做很多假设。鉴于电子商务网站上基本U2F认证器的价格，制造商甚至可以为每台50美元的物联网设备提供一个免费的U2F认证器，以引导这一过程。甚至还有fido认证的开源软件，允许制造商引导这一过程。

现在就行动

尽管消费者同意密码不方便而且最终不会成功，但人们还是不愿意放弃它们，因为他们已经很熟悉了——这是人们一直以来做事情的方式。但是，当绝大多数基于黑客的入侵都是由密码造成的时，我们是时候承认，保护我们安全的本意实际上是把我们置于危险之中。

在保护消费者安全方面，立法者走在正确的道路上。他们通过了CCPA来保护消费者数据并保持其隐私，他们还通过了SB-327来保护消费者物联网设备。然而，还需要做更多的工作，因为一种负债被换成了另一种负债。我们还有机会通过修改后的SB-327实现更强大的认证方法，并开始加强我们的数字基础设施。但是，作为企业或消费者，不要等待法律赶上现实;你可以选择使用FIDO协议安全访问互联网上的许多热门网站，比如Gmail、Facebook、Twitter等等，价格只比一杯拿铁咖啡贵一点点。

所有IoT Agenda网络贡献者都对其帖子的内容和准确性负责。意见是作者的，不一定传达物联网议程的想法。