专门提供持续性威胁曝露管理解决方案的资安业者Outpost24,在本周公布了一项调查报告,分析了外泄的180万个IT管理员帐户密码,发现有超过2%直接采用「admin」。
Outpost24所分析的是该公司的Threat Compass数据库,此一数据库搜集了大量的外泄凭证,并从中筛选出180万个标示为管理员门户网站(Admin portals)的帐户,发现这些帐户最常使用的前五名密码依序是admin、123456、12345678、1234及Password,其中, 有超过4万个Admin账户的密码是admin,占了所有Admin账户的2%。
这样的结果令研究人员相信,许多用户都直接采用了设备的预设密码,因为不管是admin、Password或连续数字都是设备上常见的预设密码。
Outpost24指出,预设密码通常用在装置一开始的设定,且多半是公开的,只要于网络上或产品文件中搜寻就能找到,是黑客最容易入侵的缺口之一,也被视为安全漏洞,尽管如此,却依然被广泛使用。
另一方面,密码管理业者NordPass与第三方研究人员合作,分析了3TB的外泄数据库,显示整体而言在2022年最常见的前五大密码则是password、123456、123456789、guest与qwerty。
其实近年来已有相关立法禁止默认密码的使用,包括英国的《Product Security and Telecommunication Infrastructure》(PSTII)法案,或是加州的预设密码法案Senate Bill 327,这些法案要求每一个连网装置都必须具备独特的密码,或者是必须于装置中设计安全机制, 要求用户首次启用时必须变更密码。
