Vlákno názorů k článku
Velká Británie bude udělovat pokuty za výchozí hesla v zařízeních od msx. - Také je zakázán reset do výchozího hesla. Toto nerozumiem....

Také je zakázán reset do výchozího hesla.

Toto nerozumiem. Práve reset používam, ak dotyčný povie, že heslo zabudol. Logiku v tom nevidím.

Logika je taková, že ani při resetu se nesmí nastavit nějaké obecné heslo jako „password“ nebo „admin“. Třeba routery Turris nic takového jako výchozí heslo nemají a po prvním spuštění a po plném resetu se vás vždy zeptají na nové heslo. Neexistuje tak mezi nimi žádné sdílené heslo, které se do zařízení vypálí, když opouští továrnu.

Vůbec nerozumím, proč by nemohla mít všechna zařízení stejné defaultní heslo po resetu do továrního nastavení.
Ale jediné, co by po takovém přihlášení bylo možné, by byla právě změna přihlašovacích údajů. Až po jejich zadání a novém restartu by šlo zprovoznit normálním způsobem.
Všechna zařízení by se mohla vyrábět se stejným fw, nemuselo by se to lišit kus od kusu nebo řešit nějakým dodatečným čipem atp.

TechnikTom: Bylo by komplikovanější to v tom zařízení ošetřit – dost podstatná část by musel a fungovat i v tom omezeném režimu, abyste se k tomu zařízení vůbec připojil a mohl heslo změnit. A hlavně to zařízení by po připojení nefungovalo – což by se asi většině zákazníků nelíbilo.

Ta zařízení se nemusí vyrábět s různým firmwarem nebo dodatečným čipem. Stačí to heslo zapsat do trvalé paměti. Kterou už ta zařízení stejně mají – je tam třeba nějaký zavaděč, který startuje samotný firmware (který se dá aktualizovat).

OpenWRT to řeší tak, že ve výchozím stavu je WiFi zcela vypnutá, a webové rozhranní/SSH (bez hesla, při prvním připojení se objeví výzva k jeho vytvoření) jsou dostupné pouze z LAN. To mi jako řešení přijde ideální, a nemusíte se trápit s unikátními defaultními hesly ke kazdému zařízení.

Důvod je jednoduchý, jsou boty, co skenují sítě a hledají kombinace jako admin/admin a pokud se někam dostanou, tak zařízení používají na lumpárny. Tak se jim to rozhodli vrátit lumpárnou, která nepotěší je...

Technicky je taky možnost mít z výroby nějaký default v /etc (zapnutá jenom zásuvka LAN1 a HTTP pro konfiguraci na ní) a po zadání přihlašovacích údajů to přegenerovat, tomu nikdo nebrání. Ale znamená to tam ty soubory mít 2x, tzn. větší ROMku, delší nahrávání ve fabrice, otestovat konfiguraci před/po a přepínací prográmek... Zákon to nevylučuje, protože tam defaultní heslo není. Jenom je to tak nějak pracný.

Unikátní hesla jsou jednodušší a využívají to, co už se dělá - do routeru je potřeba stejně nalít unikátní data. MAC adresa WAN, MAC adresa LAN, MAC adresa WiFi, DUUID pro DHCPv6 na přidělení prefixu...A tisknou se podle toho štítky. Hodit tam jeden záznam navíc je o dost jednodušší.