CWE ID: 1392
Name: Use of Default Credentials
Das Produkt verwendet Default Credentials (wie Passwörter oder kryptografische Keys) für potenziell kritische Funktionalitäten.
Es ist üblich, dass Produkte so konzipiert sind, dass sie Default Keys, Passwörter oder andere Mechanismen für die Authentifizierung verwenden. Die dahinterliegende Begründung ist die Vereinfachung des Herstellungsprozesses oder die Erleichterung der Aufgabe des System Administrators bei der Installation und dem Deployment in ein Unternehmen. Sollten Administratoren jedoch die Default Credentials nicht ändern, wird es für Angreifer deutlich einfacher, die Authentifizierung schnell über mehrere Organisationen zu umgehen.
Effektivität: High
Beschreibung: Die Verwendung von Default Credentials, hard-coded Werten oder anderen Werten, die nicht für jede Installation des Produkts variieren, ist untersagt – insbesondere für separate Organisationen.
Effektivität: High
Beschreibung: Der Administrator muss aufgefordert werden, die Credentials bei der Installation zu ändern.
Effektivität: Moderate
Beschreibung: Der Produkt-Administrator kann die Standardeinstellungen bei der Installation oder während des Betriebs ändern.
