EMQX Windows版默认用户名密码是多少？

一、基础认知：EMQX 5.x Windows版“默认账号”已彻底消失

自 EMQX v5.0 起（发布于2022年中），官方正式废除所有预置内置账户机制——包括长期被初学者误用的 admin/public、root/public 等组合。Windows ZIP 解压版与 MSI 安装包均遵循同一安全策略：首次启动后，系统处于“零信任初始化状态”。此时 不存在任何可登录的用户名密码，Dashboard（端口 18083）默认拒绝所有未认证请求，返回 HTTP 401 或 “Unauthorized” 响应。

二、技术溯源：为何取消默认凭据？——架构级安全演进

• 零信任模型落地：v5.x 采用基于 RBAC 的细粒度权限体系，管理员账户必须显式创建并绑定角色（如 --is-superuser）；
• 配置即代码（Configuration-as-Code）强化：用户凭证不再硬编码于源码或镜像中，而是通过运行时命令或 API 动态注入；
• 攻击面收敛：规避因默认凭据泄露导致的横向渗透风险（如 CVE-2021-43972 类漏洞利用链）；
• 合规对齐：满足 ISO/IEC 27001、等保2.0三级中“身份鉴别强度”与“默认账户禁用”条款。

三、典型误区诊断表：v4.x 与 v5.x 行为对比

四、实操路径：Windows 下完成首管理员创建的完整流程

1. 解压 ZIP 包（如 emqx-5.7.2-windows-amd64.zip），进入 bin 目录；
2. 以管理员权限启动 CMD 或 PowerShell，执行：
   emqx start（后台服务模式）或 emqx console（前台调试模式）；
3. 确认服务运行正常（日志中出现 emqx@127.0.0.1 started）；
4. 执行初始化命令：
   emqx_ctl admins create admin StrongPass!2024 --is-superuser；
5. 验证账户是否生效：emqx_ctl admins list 应返回含 is_superuser: true 的条目；
6. 检查配置文件 etc/emqx.conf 中是否启用 Dashboard HTTP 监听：
   dashboard.listeners.http = 18083（非注释且值有效）；
7. 重启服务使配置生效：emqx stop && emqx start；
8. 浏览器访问 http://localhost:18083，输入刚创建的凭据登录。

五、高阶加固建议（面向5年以上从业者）

生产环境部署需超越基础初始化，实施纵深防御：

• 将管理员账户持久化至外部认证源（LDAP/AD 或 PostgreSQL），避免 Mnesia 单点故障；
• 通过 dashboard.cors.allow_origins 严格限制跨域白名单，禁用 *；
• 关闭调试接口：management.enable_metrics = false、prometheus.enable = false；
• 启用 TLS 双向认证访问 Dashboard，结合 Windows 证书服务签发客户端证书；
• 使用 emqx_ctl listeners show 定期审计监听端口暴露面，禁用未使用的 mqtt:ssl 或 dashboard:https 等监听器。

六、应急响应流程图：当 Dashboard 返回 401 时的决策树