< p class="meta"> Von Liam Tung | 16. Juni 2021 — 09:32 GMT (10:32 BST) | Thema: Sicherheit
Bret Arsenault, Microsofts Chief Information Security Officer (CISO), der seit 31 Jahren bei Microsoft ist, sagt, er sei im Unternehmen nur einmal öffentlich bejubelt worden: Damals tötete er Microsofts internes Richtlinie, Passwörter alle 71 Tage zu ändern.
“Das ist das erste Mal, dass ich als Sicherheitspersonal und Führungskraft gelobt wurde”, sagt Arsenault gegenüber ZDNet. “Wir haben gesagt, dass wir die Passwortrotation innerhalb von Microsoft deaktivieren, weil wir diesen Teil davon eliminiert haben.”
Als CISO von Microsoft ist Arsenault für den Schutz sowohl der Microsoft-Produkte als auch seiner internen Netzwerke verantwortlich, die von seinen 160.000 Mitarbeitern verwendet werden. Nachdem er Anbieter in den Mix aufgenommen hat, ist er für rund 240.000 Accounts weltweit verantwortlich. Und Passwörter loszuwerden und sie durch bessere Optionen wie die Multi-Faktor-Authentifizierung (MFA) zu ersetzen, steht ganz oben auf seiner To-Do-Liste.
SIEHE: Besser als das beste Passwort: So verwenden Sie 2FA zur Verbesserung Ihrer Sicherheit
Microsoft hat seine Kennwortrichtlinie schrittweise aktualisiert. Im Januar 2019 wurde der Ablauf auf ein Jahr umgestellt, wobei Telemetrie verwendet wurde, um die Wirksamkeit zu überprüfen. Im Januar 2020 wurde es basierend auf den Ergebnissen auf ein unbegrenztes Verfallsdatum umgestellt.
Microsoft empfiehlt seinen Kunden im Jahr 2019 auch nicht mehr, eine 60-Tage-Passwortablaufrichtlinie einzuführen, da Benutzer dazu neigen, kleine Änderungen an vorhandenen Passwörtern vorzunehmen oder neue gute zu vergessen.
Für Arsenault führte er die Diskussion nicht über die Einführung von MFA überall hin, sondern formulierte die Änderung so, dass es darum ging, Passwörter zu eliminieren.
„Weil niemand Passwörter mag. Sie hassen sie, Benutzer hassen sie, IT-Abteilungen hassen sie. Die einzigen Menschen, die Passwörter mögen, sind Kriminelle – sie lieben sie“, sagt er.
„Ich erinnere mich, dass wir das Motto hatten, überall MFA zu bekommen, im Nachhinein war das das richtige Sicherheitsziel, aber der falsche Ansatz. Machen Sie dies über das Benutzerergebnis, also wechseln Sie zu „Wir wollen Passwörter eliminieren“. Es stellte sich heraus, dass eine einfache Sprachänderung die Kultur und die Sichtweise auf das, was wir erreichen wollten, veränderte, und noch wichtiger, sie veränderte unser Design und unsere Entwicklung, wie Windows Hello for Business”, sagt er.
“Wenn ich Passwörter lösche und irgendeine Form von Biometrie verwende, geht das viel schneller und die Erfahrung ist viel besser.”
Auf Windows 10-PCs wird diese biometrische Sicherheitserfahrung von Windows Hello gehandhabt. Unter iOS und Android erfolgt der Zugriff auf Office-Apps über Microsoft Authenticator, der eine reibungslose Erfahrung beim Anmelden bei Microsoft Office-Apps bietet. Es greift auf Biometrie zurück, die auf iPhones und Android-Handys verfügbar ist.
“Heute geben 99,9 % unserer Benutzer keine Passwörter in ihrer Umgebung ein. Abgesehen davon – Fortschritt statt Perfektion – gibt es immer noch ältere Apps, die immer noch [nach einem Passwort] auffordern”, sagt er.
Das ist jedoch nicht das Ende des Kampfes. Nur 18 % der Microsoft-Kunden haben MFA aktiviert.
Diese Zahl erscheint absurd niedrig, da die Aktivierung von MFA für Microsoft-Kunden kostenlos ist. Wie Ransomware zeigt, kann es jedoch mehrere Millionen Dollar Folgen haben, wenn nur ein internes Schlüsselkonto kompromittiert wird.
Der Schutz von Konten mit MFA wird Angreifer nicht vollständig stoppen, aber es erschwert ihnen das Leben, indem sie eine Organisation vor den inhärenten Schwächen bei Benutzernamen und Passwörtern schützt, um Konten zu schützen, die durch Phishing oder durch Passwörter kompromittiert werden können. Spritzangriffe.
Die letztere Technik, die auf der Wiederverwendung von Passwörtern beruht, war eine Möglichkeit, mit der die SolarWinds-Angreifer Ziele durchbrachen, außer in die Software-Build-Systeme des Unternehmens einzudringen, um ein verseuchtes Software-Update zu verbreiten.
Microsoft bewegt sich in Richtung eines hybriden Arbeitsmodus und um diesen Wandel zu unterstützen, drängt es auf ein Zero-Trust-Netzwerkdesign, das davon ausgeht, dass das Netzwerk verletzt wurde und dass das Netzwerk über die Unternehmensfirewall hinausgeht , und richtet sich an BYOD-Geräte, die zu Hause für die Arbeit oder am Arbeitsplatz für die persönliche Kommunikation verwendet werden können.
Aber wie können wir mehr Unternehmen dazu bringen, MFA in kritischen Unternehmensprodukten von Microsoft, Google, Oracle, SAP und anderen wichtigen Softwareanbietern zu aktivieren?
Verwandte Themen:
Microsoft Security TV-Datenverwaltung CXO-Rechenzentren 