美國一座供水設施近期遭伊朗駭客入侵，雖然僅影響7,000人，但引發重視的關鍵在於，攻擊者僅靠設備預設密碼「1111」即可入侵。美國CISA因此呼籲廠商應全面淘汰預設憑證。隨著預設密碼持續成為駭客濫用的熱點，企業與製造商都必須正視其資安風險。
 

預設密碼如「admin/admin」、「1234」廣泛用於各式裝置與軟體中，儘管已知存在風險，卻因設定簡便、便於大量部署與支援舊系統而持續被沿用。但這些密碼經常未被更改，等同於為攻擊者開門。駭客通常會透過網路掃描工具，自動尋找仍使用預設密碼的裝置，進一步植入惡意程式、建立後門或作為跳板滲透整體系統。過去著名的Mirai殭屍網路，就是透過試用常見預設密碼建立起逾60萬台裝置的攻擊網路，發動高達1Tbps的DDoS攻擊，癱瘓Twitter與Netflix等服務。
 

這類攻擊手法能繞過多數安全機制，因為預設密碼本身具備合法權限，能導致供應鏈滲透、勒索軟體感染、或關鍵基礎設施癱瘓。英國已禁止IoT設備出廠預設密碼，美國與歐盟也推出相關法規強化管理。若企業忽略預設密碼，將面臨品牌聲譽受損、鉅額罰款、法律訴訟、營運中斷等後果。單一設備被攻破，更可能危及整體生產流程、醫療照護、金融交易等關鍵應用環境。
 

建議措施

廠商應落實「Secure by Design」原則，包含：

1. 每台設備出廠嵌入唯一隨機密碼
2. 設定初次啟動即要求變更密碼
3. 導入設備驗證與固件完整性檢查
4. 開發階段強化人員資安訓練與預設密碼掃描

同時，企業IT部門應落實密碼政策與資產清查，部署工具如Specops Password Policy，自動阻擋已知洩露密碼，降低預設密碼成為攻擊入口的風險。