Arsenault告诉记者,“那次是我第一次作为安全人员和高管被喝彩。当时我们说在微软内部不再需要轮换密码,因为我们已经取消了这个做法。”
Arsenault作为微软的首席信息官负责保护微软的产品和旗下16万名员工使用的内部网络。他要负责连同供应商在内的全球大约24万个账户。在他的待办事项清单上的重要项目里,扔掉密码、用多因素认证(MFA)等更好的选择来取代密码的项目排在头几位。
微软分阶段更新了旗下的密码政策。2019年1月时,密码一年过期,利用遥测技术验证密码有效性。2020年1月时,根据有关结果转为密码无限期有效。
微软还曾在2019年停止向客户推荐实施60天的密码过期政策,因为用户即便改密码也往往只会对现有的密码进行小的改动,或是忘记新的更好的密码。
Arsenault没有把这次谈话内容定格在将MFA推广到各个地方使用,而是将这种改变看成是消除密码的契机。
Arsenault表示,“没有人喜欢密码。员工讨厌密码,用户讨厌密码,IT部门讨厌密码。唯一喜欢密码的人是犯罪分子,只有他们喜欢密码。”
Arsenault表示,“开始我们有一个座右铭,就是让每个地方都使用MFA,事后来看,这个安全目标是对的,但方法错了。一定要从用户结果入手,所以改成‘我们要消灭密码’。最后的结果是简单的语言转变改变了我们的密码文化以及对于试图完成目标的看法。更重要的是,还改变了设计和产品,比如商用Windows Hello。”
Arsenault表示,“如果取消了密码,使用生物识别技术等技术,会快得多,体验也好得多。”
Windows 10电脑的这种生物识别安全体验由Windows Hello处理。而在iOS和安卓系统上,访问Office应用程序是通过Microsoft Authenticator(微软鉴证器)完成的,Microsoft Authenticator为登录Microsoft Office应用程序提供了流畅的体验,使用了iPhone和Android手机上的生物识别技术。
Arsenault表示,“时下99.9%的用户不用再输入密码。尽管如此,这只是第一步,还不够完美,还有一些传统应用程序仍然会提示输入密码。”
然而,战斗还没有结束。只有18%的微软客户启用了MFA。
启用MFA对微软客户来说是免费的,所以18%这个数字似乎低得离谱,而勒索软件显示,泄露一个关键的内部账户可能会有几百万美元的后果。
利用MFA保护账户不会完全挡住攻击者,但MFA确实会使加大攻击的难度,MFA使得一个组织免受用户名和密码固有弱点的影响,可以保护账户,利用钓鱼或快速猜测密码等手段则可以攻击账户导致安全泄露。
快速猜测密码技术利用了密码重复使用的问题,SolarWinds攻击者黑进SolarWinds公司的软件构建系统,得以传播受污染的软件的更新入侵目标系统,也用到了这种技术。
目前,微软正在转向混合工作模式,为了支持该转变,微软正在推动零信任网络设计的使用,零信任网络假定网络已经被入侵,网络延伸到了企业防火墙的外面并可以方便个人通信BYOD设备的使用,这解决了可能在家里用工作环境网络或在工作环境用家庭网络的问题。
但我们要如何才能在更多的组织中对微软、谷歌、甲骨文、SAP和其他关键软件供应商等众多关键企业产品上启用MFA呢?
对于那些希望启用MFA的组织,Arsenault建议首先的目标是高风险账户,要努力取得进展,而不是追求完美。最大的问题是传统应用程序,但追求完美有可能陷入困境。
Arsenault表示,“每个人都有些旧应用程序不能支持诸如生物识别技术的现代认证,因此我认为很多人应该而且需要做的是采取基于风险的方法:首先在高风险价值群体里实施MFA,例如管理员、人力资源、法律小组等群体,然后再转向所有用户。这可能是一个数年的旅程,这取决于想多快完成。”
同时也有一个难题,SolarWinds以及俄罗斯政府黑客盯上了拥有100亿美元网络安全业务的微软。微软在2月份曾称在这次事件中只受到了很小的伤害,但却还是被入侵了。微软总裁Brad Smith称这次黑客攻击是个“认识真相的时刻”,包括微软在内的客户不能再信任从可信供应商那里得到的软件。
Arsenault表示,“当然,在我们的环境里使用SolarWinds软件,找到并修复了受影响的版本,并已经公开了有关的信息。通过也在继续修改供应链的计划以及如何评估供应链里的内容。”
根据Arsenault表示,微软很早就看到供应链威胁的出现。
Arsenault表示,“大家看到很多人都在做保护自己的事情,但他们的后门却大开。”
Arsenault称,“我们已经看到的部分,供应链是个薄弱环节。供应商的可见度有限。而美国总统乔-拜登的行政命令在这个领域将会有所帮助。但从供应商的角度而言,我们需要一种可扩展性的方法来提高这种可见度。”
Arsenault表示,“微软想把信息工作者的零信任概念应用到软件供应链上,即是说,任何一行编写的代码无不来自经过认证的身份,无不来自健康的设备。”