< p class="meta"> Door Liam Tung | 16 juni 2021 — 09:32 GMT (10:32 BST) | Onderwerp: Beveiliging
Bret Arsenault, de Chief Information Security Officer (CISO) van Microsoft, die al 31 jaar bij Microsoft werkt, zegt dat hij maar één keer publiekelijk is toegejuicht bij het bedrijf: dat was toen hij de interne beleid om wachtwoorden elke 71 dagen te wijzigen.
“Dat is de eerste keer dat ik word geprezen als beveiligingsmedewerker en leidinggevende”, zegt Arsenault tegen ZDNet. “We zeiden dat we wachtwoordrotatie binnen Microsoft uitschakelen, omdat we dat deel ervan hadden geëlimineerd.”
Als CISO van Microsoft is Arsenault verantwoordelijk voor de bescherming van zowel Microsoft-producten als de interne netwerken die door zijn 160.000 werknemers worden gebruikt. Nadat hij leveranciers aan de mix heeft toegevoegd, is hij verantwoordelijk voor ongeveer 240.000 accounts wereldwijd. En wachtwoorden verwijderen en ze vervangen door betere opties zoals multi-factor authenticatie (MFA) staat hoog op zijn takenlijst.
ZIE: Beter dan het beste wachtwoord: Hoe u 2FA gebruikt om uw beveiliging te verbeteren
Microsoft heeft zijn wachtwoordbeleid in fasen bijgewerkt. In januari 2019 ging het over naar een vervaldatum van één jaar, waarbij telemetrie werd gebruikt om de effectiviteit te valideren. In januari 2020 is het op basis van de resultaten naar onbeperkt verlopen.
Microsoft stopte in 2019 met het aanbevelen aan klanten om een wachtwoordvervalbeleid van 60 dagen te implementeren, omdat mensen de neiging hebben om kleine wijzigingen aan te brengen in bestaande wachtwoorden of nieuwe goede wachtwoorden te vergeten.
Voor Arsenault, in plaats van het gesprek te voeren over het overal plaatsen van MFA, vatte hij de verandering op als het elimineren van wachtwoorden.
“Omdat niemand van wachtwoorden houdt. Jij haat ze, gebruikers haten ze, IT-afdelingen haten ze. De enige mensen die van wachtwoorden houden, zijn criminelen – ze houden ervan”, zegt hij.
“Ik herinner me dat we een motto hadden om MFA overal te krijgen, achteraf gezien was dat het juiste beveiligingsdoel, maar de verkeerde aanpak. Maak dit over het gebruikersresultaat, dus schakel over naar “we willen wachtwoorden elimineren”. Maar de woorden die je gebruikt, zijn van belang. Het bleek dat een simpele taalverandering de cultuur en de kijk op wat we probeerden te bereiken, veranderde. Belangrijker nog, het veranderde ons ontwerp en wat we bouwden, zoals Windows Hello voor bedrijven”, zegt hij.
“Als ik wachtwoorden elimineer en elke vorm van biometrie gebruik, gaat het veel sneller en is de ervaring zoveel beter.”
Op Windows 10-pc's wordt die biometrische beveiligingservaring afgehandeld door Windows Hello. Op iOS en Android wordt toegang tot Office-apps gedaan via Microsoft Authenticator, wat een soepele ervaring biedt bij het inloggen op Microsoft Office-apps. Het maakt gebruik van biometrische gegevens die beschikbaar zijn op iPhones en Android-telefoons.
“Vandaag de dag voert 99,9% van onze gebruikers geen wachtwoorden in in hun omgeving. Dat gezegd hebbende – vooruitgang boven perfectie – zijn er nog steeds verouderde apps die nog steeds [om een wachtwoord] vragen”, zegt hij.
Dat is echter niet het einde van de strijd. Slechts 18% van de klanten van Microsoft heeft MFA ingeschakeld.
Dit cijfer lijkt absurd laag, aangezien het inschakelen van MFA gratis is voor Microsoft-klanten, maar zoals ransomware laat zien, kunnen er miljoenen dollars aan gevolgen zijn wanneer slechts één belangrijk intern account wordt gecompromitteerd.
Het beschermen van accounts met MFA zal aanvallers niet volledig stoppen, maar het maakt hun leven wel moeilijker door een organisatie te beschermen tegen de inherente zwakheden in gebruikersnamen en wachtwoorden om accounts te beschermen, die kunnen worden gephishing of gecompromitteerd via wachtwoord- spuitende aanvallen.
De laatste techniek, die afhankelijk is van het hergebruik van wachtwoorden, was een manier waarop de aanvallers van SolarWinds doelen braken, naast het inbreken in de softwaresystemen van het bedrijf om een besmette software-update te verspreiden.
Microsoft evolueert naar een hybride manier van werken en om die verschuiving te ondersteunen, streeft het naar een Zero Trust-netwerkontwerp, waarbij wordt aangenomen dat het netwerk is geschonden, dat het netwerk verder gaat dan de bedrijfsfirewall , en is geschikt voor BYOD-apparaten die thuis kunnen worden gebruikt voor werk of op het werk voor persoonlijke communicatie.
Maar hoe zorgen we ervoor dat meer organisaties MFA inschakelen in kritieke bedrijfsproducten van Microsoft, Google, Oracle, SAP en andere cruciale softwareleveranciers?
Verwante onderwerpen:
Microsoft Security TV Data Management CXO Datacenters 