每电信世界:
FreePBX 操作面板 (FOP)
在 Flash 操作面板中执行传输和挂断的密码是 passw0rd(零而不是字母 O)
我使用的是 Elastix 2.5,我只是对此感到好奇——将任何密码设置为静态值似乎是一个值得怀疑的选择。对于 FreePBX 或 PIAF (PBX In A Flash),MySQL 密码设置为此值。
为什么?
在 Elastix 2.5 中运行elastix-admin-passwords --change调用:
#!/bin/bash
clear
echo "This script resets your MySQL password. IT MUST BE passw0rd!"
echo "Script also changes your admin password for Elastix MT access."
read -p "To continue, press Enter. Otherwise, press Ctrl-C to abort."
echo " "
elastix-admin-passwords --change
echo " "
echo "Done. Access Incredible PBX at http://`/sbin/ifconfig eth0 | grep "inet " | cut -f 2 -d ":" | cut -f 1 -d " "`"
echo " "
我对它是如何产生的以及它是否是一个“好”主意同样感兴趣。
答案1
对于许多程序(包括 MySQL),默认的、有时也是唯一的用户身份验证方法是要求用户提供密码。即使该用户实际上是另一个程序,它的工作原理也是一样的:服务器仍然会要求它输入密码,并且程序必须知道答案。
交付所有程序都知道正确密码的产品的最简单方法是使用一堆硬编码(例如,ISO 映像的一部分 - 每次安装都相同) - 然后您可以将它们放入各种配置文件(或更糟糕的是,在各种程序的源代码中)。另一种方法是为每次安装生成唯一的随机密码,并让安装程序将它们放入适当的配置文件中,但这需要更多工作(尽管安全得多!)。
使用默认密码的第二个原因是为了使编写文档变得容易。 “登录于http://机器IP地址/,用户admin,密码admin”很简单。(当然,这不适用于程序到程序的密码)。
这些密码的关键在于默认密码总是不安全的。默认密码是password、p455w0rd、 甚至 都没有关系j@'kNDv&178VGzsv;这是不安全的。它在互联网上广泛发布,任何愿意做一点研究的人都知道它,并且它可能出现在任何密码猜测者的单词列表中。所以从安全角度来说这并不重要什么默认密码是,因此passw0rd(而不是password)可能只是一个笑话。选择它的人知道它不安全(因为它是默认密码),并通过设置明显不安全的字母和数字密码来开玩笑“必须包含字母和数字”的安全要求。
所以,是的,在技术上可行的情况下,你应该更改默认密码。当技术上不可能时,你应该问为什么并认真思考:运行这个软件真的是个好主意吗?如果您决定运行它,请确保以其他方式控制访问。
答案2
"passw0rd"著名的源自天才级的想法,即将"o"单字字符串后半部分的小写字母"password"变成零"0",从而产生字符串"passw0rd"。
损坏提示用户需要选择一个模糊的密码,而入侵者不一定会出现这种情况,也不一定会通过字典攻击找到该密码。然而,字符串"passw0rd"本身并不能实现这一点,因为"o" -> "0"不幸的是,除了许多类似的变体之外,这种替换对于密码破解程序来说已经足够常见了。