微軟:我們為什么要永遠消滅密碼
微軟的首席信息安全官(CISO)Bret Arsenault在微軟工作了31年,他說他在公司里只有一次得到同事的公開喝彩:那次是廢掉了微軟每71天必須更換密碼的內部政策。
Arsenault告訴記者,“那次是我第一次作為安全人員和高管被喝彩。當時我們說在微軟內部不再需要輪換密碼,因為我們已經取消了這個做法。”
Arsenault作為微軟的首席信息官負責保護微軟的產品和旗下16萬名員工使用的內部網絡。他要負責連同供應商在內的全球大約24萬個賬戶。在他的待辦事項清單上的重要項目里,扔掉密碼、用多因素認證(MFA)等更好的選擇來取代密碼的項目排在頭幾位。
微軟分階段更新了旗下的密碼政策。2019年1月時,密碼一年過期,利用遙測技術驗證密碼有效性。2020年1月時,根據有關結果轉為密碼無限期有效。
微軟還曾在2019年停止向客戶推薦實施60天的密碼過期政策,因為用戶即便改密碼也往往只會對現有的密碼進行小的改動,或是忘記新的更好的密碼。
Arsenault沒有把這次談話內容定格在將MFA推廣到各個地方使用,而是將這種改變看成是消除密碼的契機。
Arsenault表示,“沒有人喜歡密碼。員工討厭密碼,用戶討厭密碼,IT部門討厭密碼。唯一喜歡密碼的人是犯罪分子,只有他們喜歡密碼。”
Arsenault表示,“開始我們有一個座右銘,就是讓每個地方都使用MFA,事后來看,這個安全目標是對的,但方法錯了。一定要從用戶結果入手,所以改成‘我們要消滅密碼’。最后的結果是簡單的語言轉變改變了我們的密碼文化以及對于試圖完成目標的看法。更重要的是,還改變了設計和產品,比如商用Windows Hello。”
Arsenault表示,“如果取消了密碼,使用生物識別技術等技術,會快得多,體驗也好得多。”
Windows 10電腦的這種生物識別安全體驗由Windows Hello處理。而在iOS和安卓系統上,訪問Office應用程序是通過Microsoft Authenticator(微軟鑒證器)完成的,Microsoft Authenticator為登錄Microsoft Office應用程序提供了流暢的體驗,使用了iPhone和Android手機上的生物識別技術。
Arsenault表示,“時下99.9%的用戶不用再輸入密碼。盡管如此,這只是第一步,還不夠完美,還有一些傳統應用程序仍然會提示輸入密碼。”
然而,戰斗還沒有結束。只有18%的微軟客戶啟用了MFA。
啟用MFA對微軟客戶來說是免費的,所以18%這個數字似乎低得離譜,而勒索軟件顯示,泄露一個關鍵的內部賬戶可能會有幾百萬美元的后果。
利用MFA保護賬戶不會完全擋住攻擊者,但MFA確實會使加大攻擊的難度,MFA使得一個組織免受用戶名和密碼固有弱點的影響,可以保護賬戶,利用釣魚或快速猜測密碼等手段則可以攻擊賬戶導致安全泄露。
快速猜測密碼技術利用了密碼重復使用的問題,SolarWinds攻擊者黑進SolarWinds公司的軟件構建系統,得以傳播受污染的軟件的更新入侵目標系統,也用到了這種技術。
目前,微軟正在轉向混合工作模式,為了支持該轉變,微軟正在推動零信任網絡設計的使用,零信任網絡假定網絡已經被入侵,網絡延伸到了企業防火墻的外面并可以方便個人通信BYOD設備的使用,這解決了可能在家里用工作環境網絡或在工作環境用家庭網絡的問題。
但我們要如何才能在更多的組織中對微軟、谷歌、甲骨文、SAP和其他關鍵軟件供應商等眾多關鍵企業產品上啟用MFA呢?
對于那些希望啟用MFA的組織,Arsenault建議首先的目標是高風險賬戶,要努力取得進展,而不是追求完美。最大的問題是傳統應用程序,但追求完美有可能陷入困境。
Arsenault表示,“每個人都有些舊應用程序不能支持諸如生物識別技術的現代認證,因此我認為很多人應該而且需要做的是采取基于風險的方法:首先在高風險價值群體里實施MFA,例如管理員、人力資源、法律小組等群體,然后再轉向所有用戶。這可能是一個數年的旅程,這取決于想多快完成。”
同時也有一個難題,SolarWinds以及俄羅斯政府黑客盯上了擁有100億美元網絡安全業務的微軟。微軟在2月份曾稱在這次事件中只受到了很小的傷害,但卻還是被入侵了。微軟總裁Brad Smith稱這次黑客攻擊是個“認識真相的時刻”,包括微軟在內的客戶不能再信任從可信供應商那里得到的軟件。
Arsenault表示,“當然,在我們的環境里使用SolarWinds軟件,找到并修復了受影響的版本,并已經公開了有關的信息。通過也在繼續修改供應鏈的計劃以及如何評估供應鏈里的內容。”
根據Arsenault表示,微軟很早就看到供應鏈威脅的出現。
Arsenault表示,“大家看到很多人都在做保護自己的事情,但他們的后門卻大開。”
Arsenault稱,“我們已經看到的部分,供應鏈是個薄弱環節。供應商的可見度有限。而美國總統喬-拜登的行政命令在這個領域將會有所幫助。但從供應商的角度而言,我們需要一種可擴展性的方法來提高這種可見度。”
Arsenault表示,“微軟想把信息工作者的零信任概念應用到軟件供應鏈上,即是說,任何一行編寫的代碼無不來自經過認證的身份,無不來自健康的設備。”
