password é sempre passw0rd? Por quê?

0

Por telecomworld :

FreePBX Operator Panel (FOP)

The secret code for performing transfers and hangups in the Flash Operator Panel is passw0rd (zero not the letter O)

Eu estou no Elastix 2.5 e estou apenas curioso sobre isso - parece uma escolha questionável para definir qualquer senha para um valor estático. A senha do MySQL é definida para este valor para FreePBX ou PIAF (PBX In A Flash).

Por quê?

No Elastix 2.5 executando elastix-admin-passwords --change chama:

#!/bin/bash
clear
echo "This script resets your MySQL password. IT MUST BE passw0rd!"
echo "Script also changes your admin password for Elastix MT access."
read -p "To continue, press Enter. Otherwise, press Ctrl-C to abort."
echo " "
elastix-admin-passwords --change
echo " "
echo "Done. Access Incredible PBX at http://'/sbin/ifconfig eth0 | grep "inet " | cut -f 2 -d ":" | cut -f 1 -d " "'"
echo " "​

Estou tão interessado em saber como isso aconteceu ou não é uma "boa" ideia.

    
por Thufir 28.12.2016 / 03:15

2 respostas

4

Com muitos programas (incluindo o MySQL), a maneira padrão e às vezes única de autenticar um usuário é pedir uma senha ao usuário. Funciona da mesma forma, mesmo que esse usuário seja na verdade outro programa: o servidor ainda solicitará uma senha e o programa deve saber a resposta.

A maneira mais fácil de enviar um produto com todos os programas, conhecendo as senhas corretas, é usar um monte de codigos embutidos (como em parte da imagem ISO - o mesmo para cada instalação) - então você pode simplesmente colocar -los nos vários arquivos de configuração (ou pior, no código-fonte dos vários programas). Uma alternativa é gerar senhas únicas e aleatórias para cada instalação e fazer com que o instalador as coloque nos arquivos de configuração apropriados, mas isso é mais trabalho (embora muito mais seguro!).

Um segundo motivo para as senhas padrão é facilitar a documentação de gravação. "Faça o login no link , usuário admin, senha admin" é fácil. (Isso não se aplica a senhas de programa para programa, é claro).

A principal coisa sobre essas senhas é que as senhas padrão são sempre inseguras . Não importa se a senha padrão é password , p455w0rd ou mesmo j@'kNDv&178VGzsv ; é inseguro. Ele foi publicado amplamente na Internet, e é conhecido por qualquer um que se importe em fazer um pouco de pesquisa, e provavelmente está em qualquer lista de palavras do adivinhador de senhas. Então, realmente não importa em termos de segurança o que as senhas padrão são, e, portanto, passw0rd (em vez de password ) é provavelmente apenas uma piada. A pessoa que o escolheu sabe da sua insegurança (uma vez que é uma senha padrão), e faz uma piada sobre os requisitos de segurança "deve conter letras e números" colocando uma senha de letras e números claramente insegura.

Então, sim, quando tecnicamente possível, você deve alterar as senhas padrão . Quando não é tecnicamente possível, você deve perguntar por que e pensar muito e bem: é realmente uma boa idéia executar este software? E se você decidir executá-lo, certifique-se de controlar o acesso a algum outro maneira.

    
por 28.12.2016 / 05:14
2

"passw0rd" foi notoriamente derivado da ideia genial de corromper a letra minúscula "o" na metade final da string de palavra única "password" em zero "0" , resultando assim na string "passw0rd" .

A corrupção sugere ao usuário a necessidade de escolher uma senha ofuscada que não necessariamente ocorra a um intruso, ou que seja encontrada por meio de um ataque de dicionário. A string "passw0rd" em si, no entanto, não alcança isso, pois a substituição "o" -> "0" é infelizmente comum a programas de cracking de senhas para tentar, além de muitas variações similares.

    
por 28.12.2016 / 04:18