微信扫一扫
分享到朋友圈

微软首席信息安全官:我们为什么不需要密码

作者:InfoQ 来源:InfoQ 公众号
分享到:

05-07

作者 | Kate Fazzini
译者 | 陈思

微软是世界上受攻击最多的公司之一,身为微软的网络安全负责人,Bret Arsenault 深知这一点。

那是 2017 年 6 月的一个晚上,凌晨 4 点,Brett Arsenault 突然被手机铃声惊醒。

一场后来被称为“NotPetya”的网络攻击已经开始锁定乌克兰境内的电脑,导致不少电脑被强制锁定。

起初,这看起来像是一次普通的勒索软件攻击,在这种攻击中,企业可以靠付费打开被锁定的电脑。但 NotPetya 似乎与众不同——它像蠕虫病毒一样快速传播,受到攻击的公司很快发现:根本没有协商解锁金额的机会,他们无法继续操作电脑。

Arsenault 在了解情况后迅速与东欧和美国的员工通了电话。他要求工作人员在 10 分钟内切断乌克兰的访问路径,以阻止恶意软件从乌克兰的微软办公室扩散出去。

工作人员说他们不认为病毒会这么快扩散出去,但 Arsenault 一再坚持,工作人员才终于执行了指令。

“如果你的决定是正确的,他们会说这是你职责所在;如果做错了,你就会被解雇。”Arsenault 表示:“所以我的团队从不认为有什么是‘小问题’,这可能是这份工作最难的部分,既不能过于兴奋,又不能反应太迟钝。”

Arsenault 的工作可能是世界上最难的,因为他要对全球最大的科技公司之一的董事会负责,这家公司为全球大多数其他公司提供无处不在的产品和软件。

但 Arsenault 说,他从 NotPetya 事件以及微软每年发生的其他 6.5 万亿次事故中吸取的教训,是可以被那些规模小得多的企业甚至个人学习并加以应用的。

而这些经验中,Arsenault 认为最重要的一个是:超越对密码的依赖。

1 最简单、最古老但仍然流行的攻击方式

微软和它的客户一样,总是会被被垃圾邮件、诈骗和钓鱼软件 / 链接淹没。Arsenault 说,这些常见的东西仍然构成了大多数攻击的主体。

他说,基于电子邮件和基于密码的攻击是从最简单的欺诈到最复杂、最多方面的黑客攻击的基础。

“多年前我们都宣称,身份认证将成为新的边界。人们非常注重利用身份认证,但这已经成为一个经典案例:黑客不会选择入侵,而会直接登录受害者的 ID。我认为这对我们来说是一件非常非常重要的事情。”

“密码喷涂”是一种传统的攻击方法,攻击者试图使用一些最常用的密码同时访问大量帐户。它简单但有效,特别是在没有其他方法对员工进行身份验证的情况下。

一旦攻击者能够使用一个常用密码通过一个员工身份访问网络,他就可以开始进行更具破坏性的工作,比如窃取公司信息或冒充员工进行金融诈骗。

Arsenault 说:“到目前位置,我们仍然看到很多人试图使用密码喷涂进行攻击。防止密码喷涂的最好方法就是删除密码。如果你有密码,你就必须启用多元素身份验证。”——也就是说,使用密码和另一种形式的身份验证相结合,比如随机发送给用户手机的一组号码。

“我们看到的是:很多很多人都只专注于消去这个向量,而不是。”

2 密码本身是无用的

Arsenault 说,90% 的微软员工无需密码就可以登录公司网络。这反映了微软多年来支持的“无密码的未来”,这一做法也以产品为后盾,让消费者不用再回想那一连串令人头疼的代码。

相反,微软员工使用多种其他登录选项,包括 Windows Hello 和 Authenticator 应用程序,后者提供了人脸识别和指纹等其他登录选项。

微软是少数几家希望彻底消除密码的公司之一,其他科技巨头也在努力帮助客户减少对密码的依赖。

例如,谷歌一直在测试更强大的密码替代品,比如 USB 密钥卡,它可以插入客户的电脑,并为登录提供第二个身份验证。谷歌去年表示,这种方法确实降低了了员工被钓鱼攻击的成功率。

在去年收购了双因素认证初创企业 Duo 之后,思科也在致力于创造一个超越简单密码的未来。

3 网络高管需要直接与董事会对话

对于那些对身份、密码和员工权限有着严格规定的公司来说,网络安全高管很难做出任何改变。Arsenault 说,这就是组织结构应该发挥作用的地方。

对于网络安全高管来说,有一种常见的说法是:在一些数据的支持下,他们的任期通常会持续大约三年,而且往往在公司遭遇黑客入侵时结束。

Arsenault 的任期要长得多:他从 1990 年起就在微软工作,从 2009 年起担任 CISO(首席信息安全官)。他说,许多公司对网络安全的短期思考可能会因为 CISO 的短期任期而加剧。与高层管理人员,尤其是董事会建立长期联系,对于应对新威胁所需的快速变革至关重要。

他还指出,微软在科技公司中采用了一种流行的安全模式:联邦网络安全。这意味着微软的每一款产品都有自己的网络安全主管,更专注于在特定产品中构建安全性,并应对客户的问题。

“我们有一个类似于 red-teaming 的联合模式。”Arsenault 说。red-teaming 指的是允许有道德的黑客积极攻击公司的网络和产品,以检测缺陷的过程。“我们还做了第三层外部威胁测试,针对‘未实现的’威胁,或者那些看起来像是我们想要解决的问题。他说,通过这种方式,公司可以预测下一次像 NotPetya 这样的大规模攻击,并在攻击发生之前找出应对措施。

英文原文

https://www.cnbc.com/2019/05/01/microsoft-ciso-bret-arsenault-wants-to-eliminate-passwords.html




点个在看少个 bug

阅读37161
微软 信息 密码 
举报0
关注InfoQ微信号:infoqchina

用微信扫描二维码即可关注
声明

1、头条易读遵循行业规范,任何转载的稿件都会明确标注作者和来源;
2、本文内容来自“InfoQ”微信公众号,文章版权归InfoQ公众号所有。

评论
更多

文章来自于公众号:

InfoQ

微信号:infoqchina

邮箱qunxueyuan#163.com(将#换成@)
微信编辑器
免责声明
www.weixinyidu.com   免责声明
版权声明:本站收录微信公众号和微信文章内容全部来自于网络,仅供个人学习、研究或者欣赏使用。版权归原作者所有。禁止一切商业用途。其中内容并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。如果您发现头条易读网站上有侵犯您的知识产权的内容,请与我们联系,我们会及时修改或删除。
本站声明:本站与腾讯微信、微信公众平台无任何关联,非腾讯微信官方网站。