Michele Pinassi : 3 Maggio 2024 08:45
Si può dichiarare per legge che una password troppo semplice è illegale? Per quanto possa sembrare, ad una prima lettura, una mossa stravagante, il governo inglese ha appena –per primo al mondo– promulgato una nuova legge che dichiara illegale l’uso di password troppo semplici nei dispositivi informatici, tra cui i devices IoT che ormai invadono le abitazioni degli Inglesi (e di gran parte del resto del mondo, Italia inclusa).
World-first laws protecting UK consumers and businesses from hacking and cyber-attacks take effect today;
manufacturers of products such as phones, TVs and smart doorbells are now required to implement minimum security standards against cyber threats;
consumers will benefit from banning of easily guessable default passwords, marking a significant leap in protecting individuals, society and the economy from cyber criminals;
Con la nuova normativa, i produttori di dispositivi informatici che vogliono vendere sul mercato inglese dovranno evitare l’uso di password troppo banali come ‘admin’ o ‘12345’, chiedendo all’utente –se necessario– di impostare una credenziale sicura al primo avvio.
Il mondo dei dispositivi Internet of Things (IoT), sempre più presente nelle nostre abitazioni, rappresenta una superficie di attacco molto vasta e con criticità che vanno dall’uso di credenziali troppo banali a protocolli di comunicazione non sicuri, favorendone l’uso improprio da parte del malware. Proprio nel 2016 l’ondata di attacchi DDoS da parte della botnet Mirai, che sfruttava vulnerabilità comuni nei dispositivi IoT (oltre 600.000 dispositivi violati) per scatenare attacchi mirati di incredibile potenza che causarono problemi a piattaforme come Twitter, Netflix, Reddit, CNN…, con costi quantificabili nell’ordine di milioni di dollari.
![]() Sponsorizza la prossima Red Hot Cyber Conference!Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
La compromissione da malware non è l’unico problema causato dall’uso di password troppo banali: come abbiamo già discusso in altri articoli, sempre su questo blog, a rischio è anche la nostra privacy, attraverso gli “occhi elettronici” (telecamere) di dubbia qualità che installiamo nelle nostre abitazioni e che, se non opportunamente configurati e protetti, espongono la nostra quotidianità in Rete. Sul sito web Insecam.org, che ricerca e censisce le webcam che trasmettono, senza protezione alcuna, le immagini in Rete l’Italia è oggi il quarto Paese più presente, con 271 flussi video che trasmettono piazzali privati, campi da calcio, negozi…
Chiaramente la problematica non è solamente per dispositivi di uso commerciale: anche e soprattutto i dispositivi professionali, usati per la gestione di impianti industriali o civili, è bene che siano adeguatamente protetti e tutelati da utilizzi indebiti.
A dirla tutta, comunque, requisiti che vanno nella direzione dell’enforcing delle credenziali esistono già anche in Italia. Seppure specifica per le credenziali amministrative, il controllo “Agid Basic Security Control(s)” 5-7-2 nelle “Misure minime di Sicurezza ICT per le PA” prevede chiaramente che si debba “Impedire che per le utenze amministrative vengano utilizzate credenziali deboli“, oltre ad altri criteri come l’uso di MFA e password aging. Oltre a rilevare, in altri controlli, la necessità di individuare vulnerabilità comuni nei dispositivi connessi alla Rete (tra cui l’uso di credenziali deboli o di default).
La novità della normativa appena promulgata dal governo UK è ribaltare l’onere di garantire un livello minimo di cybersicurezza (quantomeno per le credenziali) sul costruttore e non sull’utilizzatore finale.
Concludendo, ammetto di apprezzare l’iniziativa e mi auguro che si arrivi presto a una definizione almeno Europea di standard minimi obbligatori di sicurezza sui dispositivi informatici in uso: una mossa che reputo essenziale per innalzare la tanto declamata “postura cyber” nazionale a un livello meno “sbracato” di quello che purtroppo abbiamo oggi.
Sarebbe fantastico avere un agente AI capace di analizzare automaticamente il codice dei nostri progetti, individuare i bug di sicurezza, generare la correzione e pubblicarla subito in produzione. Epp...
La disillusione nei confronti degli incontri online spinge sempre più le donne a cercare intimità emotiva nel mondo virtuale. Sempre più donne si rivolgono all’intelligenza artificiale, ovvero ai...
Una falla critica di 13 anni, nota come RediShell, presente in Redis, permette l’esecuzione di codice remoto (RCE) e offre agli aggressori la possibilità di acquisire il pieno controllo del sistema...
Se n’è parlato molto poco di questo avvenimento, che personalmente reputo strategicamente molto importante e segno di un forte cambiamento nella gestione delle vulnerabilità non documentate in Ita...
Autore: Inva Malaj e Raffaela Crisci 04/10/2025 – Darkforums.st: “303” Rivendica Data Breach di 9 GB su Apple.com Nelle prime ore del 4 ottobre 2025, sul forum underground Darkforums è comparsa...