加州议会于上周通过全美第一个物联网(IoT)装置的信息隐私法案《Information Privacy: Connected Devices》，待加州州长Jerry Brown签署之后预计于2020年的1月生效，成为美国第一个IoT法案。

　　该法案主要规定IoT装置的制造商必须提供合理的安全功能，明确规范任何可自局域网络之外登入的连网装置都必须符合以下两者之一的身分认证规定，一是若装置使用的是默认密码，那么每个装置所配置的默认密码都必须是独特的，二则是在用户首次设定该装置时，必须提醒用户设定自己的密码。

　　此一法案很明显是针对IoT装置经常采用同样的默认密码且用户经常未变更密码而造成的攻击行动而来，特别是在IoT装置已成为大规模服务阻断攻击(DDoS)重要媒介的现代。

　　然而，除了密码的部份之外，《Information Privacy: Connected Devices》对IoT装置的其它安全规范则只字未提，安全社群认为，该法案的立意良好，但在安全的保障上太薄弱了。

　　因为目前的IoT装置还面临着密码之外的其它风险，包含未加密的韧体更新，未加密的监视器影像串流画面，或者是以明文与服务器通讯等。

　　安全社群认为，一个完整的IoT法案对于装置上每个组件都应订定可供制造商遵循的安全标准，也必须能验证装置是否符合这些标准。