< p class="meta"> Di Liam Tung | 16 giugno 2021 — 09:32 GMT (10:32 BST) | Argomento: Sicurezza
Bret Arsenault, chief information security officer (CISO) di Microsoft, che lavora in Microsoft da 31 anni, afferma di essere stato pubblicamente acclamato solo una volta in azienda: è stato allora che ha eliminato la politica interna di Microsoft di cambiare le password ogni 71 giorni.
“È la prima volta che vengo applaudito come addetto alla sicurezza e dirigente”, dice Arsenault a ZDNet. “Abbiamo detto che stiamo disattivando la rotazione delle password all'interno di Microsoft, perché ne avevamo eliminato quella parte”.
In qualità di CISO di Microsoft, Arsenault è responsabile della protezione sia dei prodotti Microsoft che delle reti interne utilizzate dai suoi 160.000 dipendenti. Dopo aver aggiunto i fornitori al mix, è responsabile di circa 240.000 account in tutto il mondo. E liberarsi delle password e sostituirle con opzioni migliori come l'autenticazione a più fattori (MFA) è in cima alla sua lista di cose da fare.
VEDERE: Meglio della migliore password: come utilizzare 2FA per migliorare la sicurezza
Microsoft ha aggiornato la sua politica sulle password in più fasi. A gennaio 2019, è passato alla scadenza di un anno, utilizzando la telemetria per convalidare l'efficacia. A gennaio 2020 è passato a scadenza illimitata in base ai risultati.
Microsoft ha anche smesso di consigliare ai clienti di implementare una politica di scadenza della password di 60 giorni nel 2019 perché le persone tendono ad apportare piccole modifiche alle password esistenti o a dimenticarne di nuove valide.
Per Arsenault, piuttosto che parlare di come mettere MFA ovunque, ha inquadrato il cambiamento come un'eliminazione delle password.
“Perché a nessuno piacciono le password. Le odi, gli utenti le odiano, i reparti IT le odiano. Le uniche persone a cui piacciono le password sono i criminali: le adorano”, afferma.
“Ricordo che avevamo un motto per ottenere MFA ovunque, col senno di poi che era l'obiettivo di sicurezza giusto ma l'approccio sbagliato. Considera il risultato dell'utente, quindi passa a “vogliamo eliminare le password”. Ma le parole che usi contano. Si è scoperto che il semplice cambiamento della lingua ha cambiato la cultura e la visione di ciò che stavamo cercando di realizzare. Ancora più importante, ha cambiato il nostro design e ciò che abbiamo realizzato, come Windows Hello per le aziende”, afferma.
“Se elimino le password e utilizzo qualsiasi forma di biometria, è molto più veloce e l'esperienza è molto migliore.”
Sui PC Windows 10, l'esperienza di sicurezza biometrica è gestita da Windows Hello. Su iOS e Android, l'accesso alle app di Office avviene tramite Microsoft Authenticator, che offre un'esperienza fluida durante l'accesso alle app di Microsoft Office. Attinge alla biometria disponibile su iPhone e telefoni Android.
“Oggi, il 99,9% dei nostri utenti non inserisce password nel proprio ambiente. Detto questo, progrediscono rispetto alla perfezione, esistono ancora app legacy che richiedono ancora [una password]”, afferma.
Tuttavia, questa non è la fine della battaglia. Solo il 18% dei clienti Microsoft ha abilitato l'autenticazione a più fattori.
Questa cifra sembra assurdamente bassa dato che l'abilitazione dell'MFA è gratuita per i clienti Microsoft, tuttavia, come mostra il ransomware, possono esserci conseguenze multimilionarie quando viene compromesso solo un account interno chiave.
La protezione degli account con MFA non fermerà completamente gli aggressori, ma renderà le loro vite più difficili proteggendo un'organizzazione dalle debolezze intrinseche dei nomi utente e delle password per proteggere gli account, che possono essere oggetto di phishing o compromessi tramite password- attacchi a spruzzo.
Quest'ultima tecnica, che si basa sul riutilizzo della password, è stata un modo in cui gli aggressori di SolarWinds hanno violato gli obiettivi oltre a violare i sistemi di creazione del software dell'azienda per diffondere un aggiornamento software corrotto.
Microsoft si sta muovendo verso una modalità di lavoro ibrida e, per supportare questo cambiamento, sta spingendo verso una progettazione di rete Zero Trust, che presuppone che la rete sia stata violata, che la rete si estenda oltre il firewall aziendale e si rivolge a dispositivi BYOD che potrebbero essere utilizzati a casa per lavoro o al lavoro per comunicazioni personali.
Ma come possiamo convincere più organizzazioni ad abilitare l'MFA in prodotti aziendali critici di Microsoft, Google, Oracle, SAP e altri fornitori di software cruciali?
Argomenti correlati:
Data center CXO per la gestione dei dati di Microsoft Security TV 