全球“最严重” 供应链攻击祸起弱密码？这个锅实习生背得动吗？

时隔三个月后，2020 年年底那场牵连到美国数百家企业，影响近1.8 万用户的 SolarWinds 供应链攻击事件 ，终于进入了新阶段。

上周， 美国众议院和国土安全委员会举办联合听证会，了解 SolarWinds 事件的进展。在会上，solarwinds123 这个弱密码成了众矢之的，而 SolarWinds 前首席执行官 Kevin Thompson 甩锅实习生的言论，更是让人大跌眼镜。

现任首席安全官 Sudhakar Ramakrishna 补充说， 这个密码在 2017 年就已经开始使用。

在听证会上，议员们听到这个消息都震惊不已。 众议员 Katie Porter直接表示：

在此前的 事件梳理 中，我们提到过，SolarWinds 的安全防御原本就比较薄弱。在 2019 年， 安全研究人员 Vinoth Kumar 发现 SolarWinds 的服务器使用了一个 非常弱的密码，也就是本文开头说到的弱密码：solarwinds123。 利用这个密码，任何人都可以访问 SolarWinds 的服务器，他为此向 SolarWinds 发出了警告。收到警告后，SolarWinds 才于 2019 年 11 月修改密码。而事实上，至少从 2018 年 6 月开始，这个密码就已经在网上公开。这一年多的时间，究竟贡献了多少攻击机会，谁也难说。 只能说，这个锅让实习生来背，是有点沉了。

在听证会上，SolarWinds 的前任与现任 CEO 在甩锅实习生后，都没有解释为什么这么简单的密码会通过企业内部的审查。或者说，这也意味着他们内部的安全管理体系并不完善。过往的案例和数据表明，很多企业在网络安全管理方面做得并不到位，弱密码就是表现之一。弱密码很容易被暴力破解，泄露的密码又容易用于撞库攻击，导致更大规模的入侵和泄露事件发生。

2 月初，农历新年之前，佛罗里达州奥尔德斯马市水处理设施的计算机系统遭遇入侵，水中碱液量被调整到危险（致死）水平。近日公布的调查结果也显示， 弱密码和老旧的操作系统，是造成入侵的原因。

多份调查报告显示，大量企业、个人都没有良好的密码使用习惯：

NordPass 曾发布 2020 年 200 个常用密码，也是最容易被攻击的密码。排名靠前的连续几年都有“123456” 。 PWN 友们也可以在复制图片下方链接在浏览器中打开，检查自己的密码有没有在列表里。 PWN 君相信你们都没有👀👀👀

对于企业来说，防止弱密码最简单的方法就是制定、执行相关的管理体系，不断培训、增强员工安全意识。在我国， 《网络安全法》、《 网络安全等级保护基本要求》、 《中华人民共和国密码法》等法律法规或标准，都对密码的规范使用做出了相应要求。

对于个人来说，使用密码可以做到以下几点：

• 不同账户和设备使用不同的密码；

• 个人密码和工作密码不混用；

• 定期检查、更新密码；

• 最好是设置一套只有自己知道的密码组合体系，在不同的网站上做不同的变化……

使用密码管理软件生成、管理自己的密码也是很方便的选择。虽然我们经常调侃自己用六位数的密码保护三位数的余额。但别忘了，除了余额，我们还有更多珍贵的隐形资产。更何况，万一哪天像 SolarWinds 的实习生一样，这种锅可不一定背得动啊……