微軟首席信息安全官：我們為什麼不需要密碼

作者 | Kate Fazzini

譯者 | 陳思

微軟是世界上受攻擊最多的公司之一，身為微軟的網路安全負責人，Bret Arsenault 深知這一點。

那是 2017 年 6 月的一個晚上，凌晨 4 點，Brett Arsenault 突然被手機鈴聲驚醒。

一場後來被稱為「NotPetya」的網路攻擊已經開始鎖定烏克蘭境內的電腦，導致不少電腦被強制鎖定。

起初，這看起來像是一次普通的勒索軟體攻擊，在這種攻擊中，企業可以靠付費打開被鎖定的電腦。但 NotPetya 似乎與眾不同——它像蠕蟲病毒一樣快速傳播，受到攻擊的公司很快發現：根本沒有協商解鎖金額的機會，他們無法繼續操作電腦。

Arsenault 在了解情況後迅速與東歐和美國的員工通了電話。他要求工作人員在 10 分鐘內切斷烏克蘭的訪問路徑，以阻止惡意軟體從烏克蘭的微軟辦公室擴散出去。

工作人員說他們不認為病毒會這麼快擴散出去，但 Arsenault 一再堅持，工作人員才終於執行了指令。

「如果你的決定是正確的，他們會說這是你職責所在；如果做錯了，你就會被解僱。」Arsenault 表示：「所以我的團隊從不認為有什麼是『小問題』，這可能是這份工作最難的部分，既不能過於興奮，又不能反應太遲鈍。」

Arsenault 的工作可能是世界上最難的，因為他要對全球最大的科技公司之一的董事會負責，這家公司為全球大多數其他公司提供無處不在的產品和軟體。

但 Arsenault 說，他從 NotPetya 事件以及微軟每年發生的其他 6.5 萬億次事故中吸取的教訓，是可以被那些規模小得多的企業甚至個人學習並加以應用的。

而這些經驗中，Arsenault 認為最重要的一個是：超越對密碼的依賴。

1

最簡單、最古老但仍然流行的攻擊方式

微軟和它的客戶一樣，總是會被被垃圾郵件、詐騙和釣魚軟體 / 鏈接淹沒。Arsenault 說，這些常見的東西仍然構成了大多數攻擊的主體。

他說，基於電子郵件和基於密碼的攻擊是從最簡單的欺詐到最複雜、最多方面的黑客攻擊的基礎。

「多年前我們都宣稱，身份認證將成為新的邊界。人們非常注重利用身份認證，但這已經成為一個經典案例：黑客不會選擇入侵，而會直接登錄受害者的 ID。我認為這對我們來說是一件非常非常重要的事情。」

「密碼噴塗」是一種傳統的攻擊方法，攻擊者試圖使用一些最常用的密碼同時訪問大量帳戶。它簡單但有效，特別是在沒有其他方法對員工進行身份驗證的情況下。

一旦攻擊者能夠使用一個常用密碼通過一個員工身份訪問網路，他就可以開始進行更具破壞性的工作，比如竊取公司信息或冒充員工進行金融詐騙。

Arsenault 說：「到目前位置，我們仍然看到很多人試圖使用密碼噴塗進行攻擊。防止密碼噴塗的最好方法就是刪除密碼。如果你有密碼，你就必須啟用多元素身份驗證。」——也就是說，使用密碼和另一種形式的身份驗證相結合，比如隨機發送給用戶手機的一組號碼。

「我們看到的是：很多很多人都只專註於消去這個向量，而不是。」

2

密碼本身是無用的

Arsenault 說，90% 的微軟員工無需密碼就可以登錄公司網路。這反映了微軟多年來支持的「無密碼的未來」，這一做法也以產品為後盾，讓消費者不用再回想那一連串令人頭疼的代碼。

相反，微軟員工使用多種其他登錄選項，包括 Windows Hello 和 Authenticator 應用程序，後者提供了人臉識別和指紋等其他登錄選項。

微軟是少數幾家希望徹底消除密碼的公司之一，其他科技巨頭也在努力幫助客戶減少對密碼的依賴。

例如，谷歌一直在測試更強大的密碼替代品，比如 USB 密鑰卡，它可以插入客戶的電腦，並為登錄提供第二個身份驗證。谷歌去年表示，這種方法確實降低了了員工被釣魚攻擊的成功率。

在去年收購了雙因素認證初創企業 Duo 之後，思科也在致力於創造一個超越簡單密碼的未來。

3

網路高管需要直接與董事會對話

對於那些對身份、密碼和員工許可權有著嚴格規定的公司來說，網路安全高管很難做出任何改變。Arsenault 說，這就是組織結構應該發揮作用的地方。

對於網路安全高管來說，有一種常見的說法是：在一些數據的支持下，他們的任期通常會持續大約三年，而且往往在公司遭遇黑客入侵時結束。

Arsenault 的任期要長得多：他從 1990 年起就在微軟工作，從 2009 年起擔任 CISO（首席信息安全官）。他說，許多公司對網路安全的短期思考可能會因為 CISO 的短期任期而加劇。與高層管理人員，尤其是董事會建立長期聯繫，對於應對新威脅所需的快速變革至關重要。

他還指出，微軟在科技公司中採用了一種流行的安全模式：聯邦網路安全。這意味著微軟的每一款產品都有自己的網路安全主管，更專註於在特定產品中構建安全性，並應對客戶的問題。

「我們有一個類似於 red-teaming 的聯合模式。」Arsenault 說。red-teaming 指的是允許有道德的黑客積極攻擊公司的網路和產品，以檢測缺陷的過程。「我們還做了第三層外部威脅測試，針對『未實現的』威脅，或者那些看起來像是我們想要解決的問題。他說，通過這種方式，公司可以預測下一次像 NotPetya 這樣的大規模攻擊，並在攻擊發生之前找出應對措施。

英文原文

https://www.cnbc.com/2019/05/01/microsoft-ciso-bret-arsenault-wants-to-eliminate-passwords.html

點個在看少個 bug

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！