< p class = "meta"> Af Liam Tung | 16. juni 2021 – 09:32 GMT (10:32 BST) | Emne: Sikkerhed
Bret Arsenault, Microsofts Chief Information Security Officer (CISO), der har været hos Microsoft i 31 år, siger, at han kun nogensinde er blevet offentligt jublet en gang over for virksomheden: det var, da han dræbte Microsofts interne politik om at ændre adgangskoder hver 71 dag.
“Det er første gang, jeg bliver hyldet som sikkerhedsperson og udøvende,” fortæller Arsenault til ZDNet. “Vi sagde, at vi slukker for adgangskodedrejning i Microsoft, fordi vi havde fjernet den del af den.”
Som Microsofts CISO er Arsenault ansvarlig for at beskytte både Microsoft-produkter og dets interne netværk, der bruges af sine 160.000 ansatte. Efter at have tilføjet leverandører i blandingen er han ansvarlig for omkring 240.000 konti globalt. Og at slippe af med adgangskoder og erstatte dem med bedre muligheder som multifaktorautentificering (MFA) står højt på hans opgaveliste.
SE: Bedre end den bedste adgangskode: Sådan bruges 2FA til at forbedre din sikkerhed
Microsoft opdaterede sin adgangskodepolitik i etaper. I januar 2019 flyttede det til et års udløb ved hjælp af telemetri for at validere effektiviteten. I januar 2020 flyttede det til ubegrænset udløb baseret på resultaterne.
Microsoft stoppede også med at anbefale kunder at implementere en 60-dages adgangskodepolitik i 2019, fordi folk har tendens til at foretage små ændringer i eksisterende adgangskoder eller glemme nye gode.
For Arsenault, i stedet for at foretage samtalen om at placere MFA overalt, indrammede han ændringen som om at eliminere adgangskoder.
“Fordi ingen kan lide adgangskoder. Du hader dem, brugerne hader dem, IT-afdelinger hader dem. De eneste, der kan lide adgangskoder, er kriminelle – de elsker dem,” siger han.
“Jeg kan huske, at vi havde et motto for at få MFA overalt, i bakspejlet, der var det rigtige sikkerhedsmål, men den forkerte tilgang. Lav dette om brugerresultatet, så overgang til” vi vil fjerne adgangskoder “. Men de ord, du bruger, betyder noget. Det viste sig, at et simpelt sprogskift ændrede kulturen og synet på, hvad vi forsøgte at opnå. Endnu vigtigere ændrede det vores design, og hvad vi byggede, som Windows Hello for business, “siger han.
“Hvis jeg fjerner adgangskoder og bruger nogen form for biometri, er det meget hurtigere, og oplevelsen er så meget bedre.”
På Windows 10-pc'er håndteres den biometriske sikkerhedsoplevelse af Windows Hello. På iOS og Android sker adgang til Office-apps gennem Microsoft Authenticator, som giver en jævn oplevelse, når du logger på Microsoft Office-apps. Det udnytter biometri, der er tilgængelig på iPhones og Android-telefoner.
“I dag indtaster 99,9% af vores brugere ikke adgangskoder i deres miljø. Når det er sagt – fremskridt i forhold til perfektion – der er stadig ældre apps, der stadig beder [om en adgangskode],” siger han.
Det er dog ikke slutningen på kampen. Kun 18% af Microsofts kunder har aktiveret MFA.
Dette tal virker absurd lavt i betragtning af, at aktivering af MFA er gratis for Microsoft-kunder, men som ransomware viser, kan der være multimillion dollar-konsekvenser, når kun en nøgle intern konto er kompromitteret.
Beskyttelse af konti med MFA stopper ikke angribere fuldstændigt, men det gør deres liv sværere ved at beskytte en organisation mod de iboende svagheder i brugernavne og adgangskoder for at beskytte konti, som kan phishing eller kompromitteres gennem password- sprøjteanfald.
Den sidstnævnte teknik, der er afhængig af genbrug af adgangskoder, var en måde, SolarWinds-angriberne overtrådte mål ud over at bryde ind i firmaets softwarebygningssystemer for at sprede en plettet softwareopdatering.
Microsoft bevæger sig i retning af en hybrid arbejdsmåde, og for at understøtte dette skift lægger det et skub mod et Zero Trust-netværksdesign, der antager, at netværket er blevet brudt, at netværket strækker sig ud over virksomhedens firewall og henvender sig til BYOD-enheder, der kan bruges derhjemme til arbejde eller på arbejde til personlig kommunikation.
Men hvordan får vi flere organisationer til at aktivere MFA i kritiske virksomhedsprodukter fra Microsoft, Google, Oracle, SAP og andre vigtige softwareleverandører?
Relaterede emner:
Microsoft Security TV Data Management CXO Data Centers 