Usage of default credentials

Описание


Фабрично зададените софтуерни конфигурации за вградени системи и устройства често включват лесно за отгатване пароли, голям брой от които са публично документирани. Често срещана лоша практика на потребителите е да не променят зададените по подразбиране потребителско име и парола на техните устройства и използвани приложения. Незнанието, че дадена парола трябва да се смени или надявайки се, че защитната стена би ги защитила от неоторизиран достъп до техните устройства са част от причините за тази лоша практика.

Добра практика е всички предварително зададени данни по подразбиране да бъдат сменени във възможно най-кратък срок.

Паролите за достъп трябва да съдържат символи от следните четири категории: малки букви, големи букви, цифри и специални знаци. Минималната дължина на паролата следва бъде най-малко 8 символа. Паролата трябва да разполага с ентропия, по-висока от 80. Също така е хубаво паролите да бъдат сменявани на всеки 60 дни. Важно е да се избягва използването на една и съща или сходна парола в различни приложения, за да бъде предотвратено използването и като универсална такава, позволяваща на атакуващият да добие достъп до всички акаунти за които се използва.

Рискови фактори


Съществуват уеб сайтове в интернет, които са специално създадени, за да предоставят на потребителите данните за различните типове устройства, зададени им фабрично по подразбиране. Друга същестуваща опастност при тази практика са вируси, които обхождат интернет пространството и са програмирани автоматично да изпробват данните по подразбиране за ралични устройства. В случай, че паролата не е различна от тази, зададена по подразбиране и вирусът успее да се "впише" в дадена система, той известява първоизточника си, че това устройство използва зададените му данни по подразбиране, след което има възможност трето лице да се впише в него и да го използва в зависимост от субективните си намерения.

Примери


Съществуват множество източници в интернет пространството от които можем да се сдобием със спъсък на зададените по подразбиране данни на различни типове устройства. Един пример за такъв източник е сайтът http://www.routerpasswords.com/. В него можем да открием информация за това какви са първоначално зададените данни за аутентификация на голям брой марки и модели рутери.