美國加州首個“物聯網安全法案”已經被放到了州長辦公桌上等待簽字，但其本身遭到了安全研究人員的大量批評。專家指出，該法案明顯是基于對此類問題的膚淺理解。該法案(SB-327)于2017年2月推出，比向美國參議院提出的《物聯網網絡安全改進法案》還要早半年。雖然后者已經蒙塵，但加州仍在積極推進，并于8月28-29日兩天通過了州會和議院的批準。

如果沒有公眾或私營企業對其表示強烈反對，那在州長簽署通過后，新法案將于2020年1月1日起生效。該法案主要規定了“連接設備的制造商們，應該為設備附上合理的安全功能”。

與大多數立法工作一樣，該法案對于“合理安全性”的定義相當模糊，但在認證程序方面給出了詳細說明。其寫到——“若設備配備了局域網外的認證手段”，就必須滿足兩個標準之一：

(1)如果設備使用默認密碼，則密碼必須對每個設備是唯一的;

(2)當首次配置設備時，都必須提示用戶設置自己的密碼。

顯然，法案為避免制造商對所有設備使用相同的默認憑證，而給出了硬性的規定。不過信息安全研究專家羅伯特˙格雷厄姆指出：

新法案的初衷是好的，但在當前的物聯網市場下，它并不是特別有用、也無法解決困擾物聯網設備的任何問題。

這是基于對‘增強安全功能’的誤解，就像節食一樣——人們要求你堅持多吃蔬菜，但無力解決你正在吃薯片的問題!

格雷厄姆在昨日的《法案分析》一文中寫到：

節食的關鍵不是多吃，而是少吃一點，網絡安全也是如此。其重點不在于增加‘安全特性’，而是移除‘不安全的功能’。

對物聯網設備來說，這意味著在網絡管理中刪除偵聽端口和跨站點/注入問題。

我們不希望在這些產品中增加防火墻和防病毒等任意功能，那樣只會增加攻擊面，是情況變得更加糟糕。

總而言之：“這項法律基于對問題明顯膚淺的理解。它不會解決真正的威脅，反而會給消費者帶來巨大的‘創新’成本”。