Uma password predefinida é uma password pré-configurada padrão para um dispositivo. Tais senhas são a configuração padrão para muitos dispositivos e, se não forem alteradas, apresentam um sério risco de segurança. Exemplos típicos de senhas padrão incluem admin, password e guest. Além disso, um fornecedor geralmente usa uma única senha padrão, que pode ser facilmente encontrada online através de pesquisas ou em sites que fornecem listas compiladas.
Senhas padrão são comumente usadas para roteadores, pontos de acesso, switches e firewalls. Elas também são comuns em sistemas embarcados, sistemas de controle industrial (ICS) e interfaces de terminal remoto como Telnet e SSH.
Senha padrão inalterada, as senhas padrão fornecem um vetor de ataque fácil para equipamentos de rede doméstica; se o proprietário também se conecta a uma rede corporativa, esse risco se estende também para o negócio. Um atacante que faz login em um dispositivo com sucesso provavelmente terá acesso em nível administrativo.
O risco também é grave no caso de sistemas embarcados e segurança ICS porque esses ambientes não foram originalmente destinados a serem acessíveis através da Internet. No entanto, no crescente ambiente Internet das coisas (IoT), quase tudo pode ser endereçado e conectado, e embora haja muitos benefícios na conectividade IoT, a segurança aprimorada não está entre eles.
Senhas padrão são destinadas a serem armazenadas e usadas apenas para a configuração inicial do hardware ou após um reset de fábrica. O usuário digita a senha e normalmente é solicitado a mudá-la como parte do processo, mas nem sempre.
Para neutralizar os problemas de segurança das senhas padrão, os proprietários dos dispositivos devem alterar o valor padrão para uma senha forte quando eles configuram um dispositivo pela primeira vez. Os vendedores podem impor essa alteração no primeiro uso da senha padrão. Outra opção para o fornecedor é empregar senhas padrão seguras únicas.