Una password predefinita è una password preconfigurata standard per un dispositivo. Tali password sono la configurazione predefinita per molti dispositivi e, se invariate, presentano un serio rischio per la sicurezza. Esempi tipici di password predefinite includono Admin, parola d'ordine e ospite. Inoltre, un fornitore utilizza generalmente un'unica password predefinita, che può essere facilmente trovata online tramite la ricerca o su siti Web che forniscono elenchi compilati.
Le password predefinite sono comunemente utilizzate per router, punti di accesso, switch e firewall. Sono anche comuni nei sistemi embedded, nei sistemi di controllo industriale (ICS) e nelle interfacce di terminali remoti come Telnet e SSH.
Lasciate invariate, le password predefinite forniscono un facile vettore di attacco per le apparecchiature di rete domestica; se il proprietario si connette anche a una rete aziendale, il rischio si estende anche all'azienda. È probabile che un utente malintenzionato che accede a un dispositivo abbia accesso a livello amministrativo.
Il rischio è grave anche nel caso dei sistemi embedded e della sicurezza ICS perché questi ambienti non erano originariamente concepiti per essere accessibili su Internet. Tuttavia, nel fiorente ambiente dell'Internet delle cose (IoT), quasi tutto può essere reso accessibile e connesso e, sebbene ci siano molti vantaggi per la connettività IoT, una maggiore sicurezza non è tra questi.
Le password predefinite devono essere segnaposto e utilizzate solo per la configurazione iniziale dell'hardware o dopo un ripristino delle impostazioni di fabbrica. L'utente immette la password e in genere viene richiesto di modificarla durante il processo, ma non sempre.
Per contrastare i problemi di sicurezza delle password predefinite, i proprietari del dispositivo dovrebbero modificare il valore predefinito con una password complessa quando configurano per la prima volta un dispositivo. I fornitori possono applicare tale modifica al primo utilizzo della password predefinita. Un'altra opzione per il fornitore consiste nell'utilizzare password predefinite univoche e sicure.