Esses são usuários anônimos e, como tal, não precisam de senhas. Eles são criados por padrão em todas as instalações. Não sei por que isso é feito dessa maneira.
Você pode definir uma senha para eles ou removê-los. De link :
If you want to prevent clients from connecting as anonymous users without a password, you should either assign a password to each anonymous account or else remove the accounts.
Parece ser uma duplicata deste: O MySQL 5.5.16 permite o anonimato conexões