CWE ID: 1393
Name: Use of Default Password
Das Produkt verwendet Standardpasswörter für potenziell kritische Funktionalitäten.
Es ist üblich, dass Produkte so konzipiert sind, dass sie Standardpasswörter für die Authentifizierung verwenden. Die dahinterliegende Begründung ist die Vereinfachung des Herstellungsprozesses oder die Erleichterung der Aufgabe des Systemadministrators bei der Installation und dem Deployment in ein Unternehmen. Sollten Administratoren die Standardwerte jedoch nicht ändern, wird es Angreifern ermöglicht, die Authentifizierung über mehrere Organisationen schnell zu umgehen. Es existieren zahlreiche Listen mit Standardpasswörtern und default-password scanning tools, die leicht über das World Wide Web verfügbar sind.
Effektivität: High
Beschreibung: Verboten ist die Verwendung von Standardwerten, fest codierten Werten oder anderen Werten, die sich nicht für jede Installation des Produkts ändern – insbesondere nicht für separate Organisationen.
Effektivität: Limited
Beschreibung: Stellen Sie sicher, dass die Produktdokumentation deutlich auf die Existenz von Default Passwords hinweist und dem Administrator Schritte zur Änderung dieser Passwords bereitstellt.
Effektivität: High
Beschreibung: Zwingen Sie den Administrator dazu, die Credentials bei der Installation zu ändern.
Effektivität: Moderate
Beschreibung: Der Produktadministrator kann die Standardwerte bei der Installation oder während des Betriebs ändern.
