je třeba rozlišovat 2 věci:

1. hesla do administrace (ať webové, SNMP, nebo CLI)
2. hesla pro použití se službami (PPPoE, PPPoA, BigPond, apod.)

ad 1.)
dokud je administrace dostupná jen z LAN, je to relativně bezpečné. Relativně proto, že bezpečné je to jen do okamžiku kompromitace některého z PC v LAN za routerem. V tom okamžiku může útočník přes napadené PC (např. nástroji typu backorifice, vnc, ssh apod.) bez problémů dosíci admin rozhraní routeru a pak je jen otázkou několika klepnutí otestovat defaultní hesla. Je ovšem otázkou, zda se útočník bude zabývat "tupou" krabičkou, když má kontrolu nad celým PC (to mě napadá jen v okamžiku, kdy by chtěl útočit např. na další PC, jejich uživatele a jejich internetové služby nacházející se v téže LAN).

ad 2.)
tyto defaulty k službám a připojením buď nefungují, nebo jsou obecně známé (typicky L/P o2/o2 u DSL Telekómiky) a jejich změna (pokud už fungují) znefunkční službu. Obecně je pak k jejich "reverznímu" zjištění třeba hesla pro administraci - viz bod 1. (většina routerů je má uložené plaintextově v nvram jako proměnné).