<div dir="ltr"><br><br>On Sat, Dec 25, 2021 at 6:03 PM Jerry Leichter <<a href="mailto:leichter@lrw.com">leichter@lrw.com</a>> wrote:<div><span class="gmail_default" style="font-family:"times new roman",serif;font-size:large">>></span>..... If you have your hands on the device, you can read the sticker on it, so even a strong, unique default password is known to you - let's hope the user either changed it (if that's <span class="gmail_default" style="font-family:"times new roman",serif;font-size:large"></span></div><div><span class="gmail_default" style="font-family:"times new roman",serif;font-size:large">>></span>possible!) or removed the sticker.  If you can bypass the OS to read /etc/shadow, you can modify it as well and create your own username/password.  (I doubt any IoT </div><div><span class="gmail_default" style="font-family:"times new roman",serif;font-size:large">>></span>devices are capable of this, but there could be a secure boot sequence that prevents you from changing what's there.  But anyone who implements that will sign - and probably encrypt - the entire thing.)<br><br><div class="gmail_default" style="font-family:"times new roman",serif;font-size:large">Before tossing the sticker back it up someplace safe.<br>That is likely the password is needed after a physical reset.<br>Also backup the settings hopefully the device makes that easy.<br>If a default password is lost there is a denial of service bricked-it option for the bad guys. <br><br>Yes, change the password.<br>   Are there better tools than apg.<br>  <span style="font-weight:bold;color:rgb(95,99,104);font-family:Roboto,arial,sans-serif;font-size:14px">apg</span><span style="color:rgb(77,81,86);font-family:Roboto,arial,sans-serif;font-size:14px"> "generates several random passwords. It uses several password generation algorithms (currently two)"<br>   If you suspect generated passwords are guessable, grab some physical dice to chop generated passwords into 1-6 char chunks.</span></div><br></div><div><br><br><br><br>-- <br><br>          T o m    M i t c h e l l  (on NiftyEgg[.]com )</div></div>