この製品は、攻撃者が計算、導出、再利用、または推測できる弱い認証情報(デフォルト・キーやハードコードされたパスワードなど)を使用している。
設計上、認証プロトコルは、攻撃者がキーやパスワードのようなクレデンシャルを知らなけれ ば、ブルートフォース攻撃を実行しなければならないことを保証しようとする。しかし、これらのクレデンシャルが容易に予測可能であったり、固定的でさえある場合(デ フォルトまたはハードコードされたパスワードやキーのように)、攻撃者はブルートフォース に頼ることなくメカニズムを破ることができる。
クレデンシャルは、以下のようなさまざまな理由で弱くなる可能性がある:
製品のインストールごとに新しい一意のクレデンシャルを生成するように意図されていても、生成 が予測可能であれば、推測攻撃も単純化される可能性がある。
The product uses weak credentials (such as a default key or hard-coded password) that can be calculated, derived, reused, or guessed by an attacker.
By design, authentication protocols try to ensure that attackers must perform brute force attacks if they do not know the credentials such as a key or password. However, when these credentials are easily predictable or even fixed (as with default or hard-coded passwords and keys), then the attacker can defeat the mechanism without relying on brute force.
Credentials may be weak for different reasons, such as:
Even if a new, unique credential is intended to be generated for each product installation, if the generation is predictable, then that may also simplify guessing attacks.