< p class = "meta"> Av Liam Tung | 16 juni 2021 – 09:32 GMT (10:32 BST) | Ämne: Säkerhet
Bret Arsenault, Microsofts chef för informationssäkerhet (CISO), som har varit hos Microsoft i 31 år, säger att han bara någonsin blivit uppmuntrad offentligt en gång på företaget: det var då han avlivade Microsofts interna policy att ändra lösenord var 71: e dag.
“Det är första gången jag applåderas som en säkerhetsperson och verkställande direktör”, säger Arsenault till ZDNet. “Vi sa att vi stänger av lösenordsrotation inom Microsoft, eftersom vi hade tagit bort den delen av det.”
Som Microsofts CISO är Arsenault ansvarig för att skydda både Microsofts produkter och dess interna nätverk som används av 160 000 anställda. Efter att ha lagt till leverantörer i mixen ansvarar han för cirka 240 000 konton globalt. Och att bli av med lösenord och ersätta dem med bättre alternativ som multifaktorautentisering (MFA) står högt på hans att göra-lista.
SE: Bättre än det bästa lösenordet: Hur du använder 2FA för att förbättra din säkerhet
Microsoft uppdaterade lösenordspolicyn i steg. I januari 2019 gick det till ett års utgång med telemetri för att validera effektiviteten. I januari 2020 gick det till obegränsat upphörande baserat på resultaten.
Microsoft slutade också att rekommendera kunder att genomföra en 60-dagars lösenordsutgångspolicy 2019 eftersom människor tenderar att göra små ändringar av befintliga lösenord eller glömma nya bra.
För Arsenault, snarare än att göra konversationen om att placera MFA överallt, ramade han in förändringen som att det handlade om att eliminera lösenord.
“Eftersom ingen gillar lösenord. Du hatar dem, användare hatar dem, IT-avdelningar hatar dem. De enda som gillar lösenord är brottslingar – de älskar dem”, säger han.
“Jag kommer ihåg att vi hade ett motto att få MFA överallt, i efterhand som var rätt säkerhetsmål men fel strategi. Gör detta om användarresultatet, så övergången till” vi vill eliminera lösenord “. Men orden du använder spelar roll. Det visade sig att ett enkelt språkförskjutning förändrade kulturen och synen på vad vi försökte åstadkomma. Ännu viktigare, det förändrade vår design och vad vi byggde, som Windows Hello för företag, säger han.
“Om jag tar bort lösenord och använder någon form av biometri är det mycket snabbare och upplevelsen är så mycket bättre.”
På Windows 10-datorer hanteras den biometriska säkerhetsupplevelsen av Windows Hello. På iOS och Android görs åtkomst till Office-appar via Microsoft Authenticator, vilket ger en smidig upplevelse när du loggar in på Microsoft Office-appar. Det utnyttjar biometri som är tillgänglig på iPhones och Android-telefoner.
“Idag anger 99,9% av våra användare inte lösenord i sin miljö. Med detta sagt – framsteg över perfektion – det finns fortfarande äldre appar som fortfarande kommer att be [om ett lösenord]”, säger han.
Det är dock inte slutet på striden. Bara 18% av Microsofts kunder har aktiverat MFA.
Denna siffra verkar absurt låg med tanke på att det är gratis för Microsofts kunder att aktivera MFA, men som ransomware visar kan det få flera miljarder dollar konsekvenser när bara ett nyckel internt konto äventyras.
Att skydda konton med MFA kommer inte att stoppa angriparna helt, men det gör deras liv svårare genom att skydda en organisation från de inneboende svagheterna i användarnamn och lösenord för att skydda konton, som kan phishing eller komprometteras med lösenord- sprutattacker.
Den senare tekniken, som förlitar sig på återanvändning av lösenord, var ett sätt som SolarWinds-angriparna brutit mot mål förutom att bryta sig in i företagets mjukvarubyggningssystem för att sprida en smutsig programuppdatering.
Microsoft går mot ett hybridläge och för att stödja det skiftet sätter det ett tryck mot en Zero Trust-nätverksdesign, som förutsätter att nätverket har brutits, att nätverket sträcker sig bortom företagets brandvägg och tillgodoser BYOD-enheter som kan användas hemma för arbete eller på jobbet för personlig kommunikation.
Men hur får vi fler organisationer att aktivera MFA i viktiga företagsprodukter från Microsoft, Google, Oracle, SAP och andra viktiga programvaruleverantörer?
Relaterade ämnen:
Microsoft Security TV Data Management CXO Data Centers 