비밀번호는 항상 passw0rd인가요? 왜?

tag-icon tag-icon password mysql freepbx
비밀번호는 항상 passw0rd인가요? 왜?

모든통신 세계:

FreePBX 조작 패널(FOP)

Flash 조작 패널에서 전송 및 끊기를 수행하기 위한 비밀번호는 passw0rd(문자 O 대신 0)입니다.

저는 Elastix 2.5를 사용하고 있는데 이것이 궁금합니다. 비밀번호를 정적 값으로 설정하는 것은 의심스러운 선택인 것 같습니다. FreePBX 또는 PIAF(PBX In A Flash)의 경우 MySQL 비밀번호가 이 값으로 설정됩니다.

왜?

Elastix 2.5에서 호출 실행 elastix-admin-passwords --change:

#!/bin/bash
clear
echo "This script resets your MySQL password. IT MUST BE passw0rd!"
echo "Script also changes your admin password for Elastix MT access."
read -p "To continue, press Enter. Otherwise, press Ctrl-C to abort."
echo " "
elastix-admin-passwords --change
echo " "
echo "Done. Access Incredible PBX at http://`/sbin/ifconfig eth0 | grep "inet " | cut -f 2 -d ":" | cut -f 1 -d " "`"
echo " "​

나는 그것이 어떻게 탄생했는지, 그리고 그것이 "좋은" 아이디어였는지에도 마찬가지로 관심이 있습니다.

답변1

많은 프로그램(MySQL 포함)에서 기본이자 때로는 유일한 사용자 인증 방법은 사용자에게 비밀번호를 제공하도록 요구하는 것입니다. 사용자가 실제로 다른 프로그램인 경우에도 동일한 방식으로 작동합니다. 즉, 서버는 여전히 암호를 묻고 프로그램은 대답을 알아야 합니다.

모든 프로그램이 올바른 비밀번호를 알고 있는 제품을 제공하는 가장 쉬운 방법은 여러 개의 하드코딩(예: ISO 이미지의 일부 - 모든 설치에 동일)을 사용하는 것입니다. 그런 다음 이를 다양한 구성 파일에 넣을 수 있습니다(또는 더 나쁜 경우 예, 다양한 프로그램의 소스 코드에서). 대안은 각 설치마다 고유한 무작위 비밀번호를 생성하고 설치 프로그램이 이를 적절한 구성 파일에 넣도록 하는 것입니다. 그러나 이 방법은 더 많은 작업이 필요합니다(훨씬 더 안전하기는 하지만!).

기본 비밀번호를 사용하는 두 번째 이유는 문서 작성을 더 쉽게 하기 위해서입니다. "로그인http://machineIP주소/, 사용자 admin, 비밀번호 admin"은 간단합니다. (물론 프로그램 간 비밀번호에는 적용되지 않습니다.)

이 비밀번호의 핵심은기본 비밀번호는 항상 안전하지 않습니다. 기본 비밀번호가 password, , 인 것도 p455w0rd중요하지 않습니다. j@'kNDv&178VGzsv이는 안전하지 않습니다. 이는 인터넷에 널리 게시되어 약간의 조사를 하려는 사람이라면 누구나 알 수 있으며 비밀번호 추측자의 단어 목록에 나타날 가능성이 높습니다. 따라서 보안 관점에서는 중요하지 않습니다.무엇기본 비밀번호는 농담 passw0rd일 수도 있습니다. password이를 선택한 사람은 그것이 안전하지 않다는 것을 알고(기본 비밀번호이기 때문에) 명백히 안전하지 않은 영숫자 비밀번호를 설정하여 "문자와 숫자를 포함해야 합니다" 보안 요구 사항을 농담으로 합니다.

그렇습니다. 기술적으로 가능한 경우에는기본 비밀번호 변경. 기술적으로 불가능한 경우 이유를 묻고 다음 사항에 대해 곰곰이 생각해야 합니다.이 소프트웨어를 실행하는 것이 정말 좋은 생각인가요?실행하기로 결정한 경우 다른 방법으로 액세스를 제어해야 합니다.

답변2

"passw0rd""o"단일 단어 문자열의 후반부에 있는 소문자를 "password"0으로 변경하여 "0"문자열을 생성하는 천재 수준의 아이디어에서 파생된 것으로 유명합니다 "passw0rd".

손상은 사용자에게 모호한 비밀번호를 선택하라는 메시지를 표시하며, 침입자가 반드시 사전 공격을 통해 이를 찾거나 찾을 수는 없습니다. 그러나 문자열 "passw0rd"자체는 이를 수행하지 못합니다. "o" -> "0"불행하게도 이러한 대체는 많은 유사한 변형 외에도 비밀번호 크래킹 프로그램에서 충분히 일반적이기 때문입니다.

관련 정보