有2%的IT管理帐户以“admin”作为密码
文/陈晓莉 | 2023-10-18发表
专门提供持续性威胁曝露管理解决方案的资安业者Outpost24，在本周公布了一项调查报告
，分析了外泄的180万个IT管理员帐户密码，发现有超过2%直接采用“admin”。
Outpost24所分析的是该公司的Threat Compass数据库，此一数据库蒐集了大量的外泄凭证
，并从中筛选出180万个标示为管理员入口网站（Admin portals）的帐户，发现这些帐户
最常使用的前五名密码依序是admin、123456、12345678、1234及Password，其中，有超过
4万个Admin帐户的密码是admin，占了所有Admin帐户的2%。
这样的结果令研究人员相信，许多使用者都直接采用了装置的默认密码，因为不管是admin
、Password或连续数字都是装置上常见的默认密码。
Outpost24指出，默认密码通常用在装置一开始的设定，且多半是公开的，只要于网络上或
产品文件中搜寻就能找到，是骇客最容易入侵的缺口之一，也被视为安全漏洞，尽管如此
，却依然被广泛使用。
另一方面，密码管理业者NordPass与第三方研究人员合作，分析了3TB的外泄数据库，显示
整体而言在2022年最常见的前五大密码则是password、123456、123456789、guest与
qwerty。
其实近年来已有相关立法禁止默认密码的使用，包括英国的《Product Security and
Telecommunication Infrastructure 》（PSTII）法案，或是加州的默认密码法案Senate
Bill 327，这些法案要求每一个连网装置都必须具备独特的密码，或者是必须于装置中设
计安全机制，要求使用者首次启用时必须变更密码。
iThome
https://www.ithome.com.tw/news/159337