<div dir="ltr">Nak on setting a default password. The blank password has served its purpose well for years now. Any preset password is asking for users to leave it default. The only problem with blank ssh logins is it removes one of the ways openwrt encouraged the user to set a password.<div><br></div><div>A banner that warns about a blank password would be fine, similar to what Luci does. Any thoughts about forcing a password change on first ssh login? I haven't thought through the idea fully myself.</div></div><br><div class="gmail_quote"><div dir="ltr">On Tue, Sep 8, 2015 at 1:35 PM Vittorio G (VittGam) <<a href="mailto:openwrt@vittgam.net">openwrt@vittgam.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Il 08.09.2015 10:15 Steven Barth ha scritto:<br>
> as of <a href="https://dev.openwrt.org/changeset/46809" rel="noreferrer" target="_blank">https://dev.openwrt.org/changeset/46809</a> telnet is no longer part of<br>
> the base images. As a replacement, it is now possible to login to the root-<br>
> account via SSH without a password prompt whenever no root password is set,<br>
> e.g. after a flash without keeping config, factory reset or in failsafe.<br>
<br>
What about empty root password but authorized_keys for root present? This<br>
behavior is not clear from the patch...<br>
<br>
Maybe it would just be better to set the default root password to 'openwrt'<br>
or 'insecure' or 'change_me!'?<br>
<br>
Cheers,<br>
Vittorio<br>
_______________________________________________<br>
openwrt-devel mailing list<br>
<a href="mailto:openwrt-devel@lists.openwrt.org" target="_blank">openwrt-devel@lists.openwrt.org</a><br>
<a href="https://lists.openwrt.org/cgi-bin/mailman/listinfo/openwrt-devel" rel="noreferrer" target="_blank">https://lists.openwrt.org/cgi-bin/mailman/listinfo/openwrt-devel</a><br>
</blockquote></div>