مایکروسافت گذرواژه را نابود میکند
برت آرسنو (Bret Arsenault)، مدیر ارشد امنیت اطلاعات مایکروسافت که 31 سال در این شرکت مشغول به کار بوده است، میگوید او تنها یک در مایکروسافت بار مورد تشویق عموم قرار گرفته است و آن وقتی بوده که سیاست تغییر دورهای گذرواژه را لغو کرده است.
آرسنو در آن زمان اعلام کرده بود که سیاست تغییر گذرواژه در هر 71 روز یک بار، حذف شده است. آرسنو به عنوان مدیر ارشد امنیت اطلاعات مایکروسافت، علاوه بر حفاظت از محصولات مایکروسافت، مسئول امنیت شبکه داخلی شرکت نیز هست، که 160 هزار کارمند از آن استفاده میکنند. با احتساب تولیدکنندگان، او مسئول امنیت 240 هزار حساب کاربری در سطح جهان است. حذف گذرواژه و جایگزینی آن با گزینههای بهتری مثل احراز هویت چندعاملی (MFA) از اولویتهای او است. مایکروسافت سیاست گذرواژه خود را طی مراحلی تغییر داده است. ابتدا در ژانویه 2019، زمان اعتبار گذرواژه را یک سال در نظر گرفت. سپس با توجه به نتایج کار، در ژانویه 2020، زمان اعتبار گذرواژه را نامحدود کرد. آرسنو به جای آنکه از MFA صحبت کند، از عبارت حذف گذرواژه استفاده میکند. «چون هیچ کس گذرواژه را دوست ندارد. شما از گذرواژه متنفرید، کاربران متنفرند، دپارتمانهای IT متنفرند، تنها کسانی که گذرواژه را دوست دارند، مجرمان هستند. آنها عاشق گذرواژه اند». یادم است شعاری داشتیم که میگفت «MFA در همه جا». اکنون میبینم که این هدف امنیتی درست، اما راهکار اشتباهی بود. بهتر است بگوییم «ما میخواهیم گذرواژه را حذف کنیم». کلماتی که انسان استفاده میکند مهم است. یک تغییر کلامی ساده باعث تغییر فرهنگ و نوع نگاه به هدف شد. مهمتر از آن، طراحی ما و محصولی که ایجاد کردیم (مثل Windows Hello for business) نیز تحت تأثیر این ادبیات قرار گرفت. اگر ما گذرواژه را حذف و آن را با هر شکلی از بیومتریک جایگزین کنیم، منجر به سرعت بیشتر و تجربه کاربری بهتر خواهد شد. اکنون تنها 18 درصد از مشتریان مایکروسافت MFA را فعال کردهاند. با توجه به رایگان بودن MFA برای مشتریان، این رقم بسیار پایین است. همچنین فعالیت باج افزارها نشان داده است که وقتی تنها یک حساب کاربری کلیدی مورد نفوذ قرار گیرد، ممکن است خسارات چند میلیون دلاری رخ دهد. استفاده از گذرواژه و نام کاربری، دارای ضعف ذاتی است، زیرا میتواند در حمله فیشینگ یا password-spraying به سرقت رود. MFA این ضعف را برطرف میکند. بنابراین هرچند حفاظت اکانتها با استفاده از MFA مهاجمان را به طور کامل متوقف نمیکند، اما کار آنها را سختتر میکند. تکنیک password-spraying از استفاده مکرر از گذرواژهها سوء استفاده میکند و از روشهایی بود که مهاجمان با استفاده از آن، به شرکت سولارویندز و شرکتهای مشتری آن حمله کردند که یک حمله زنجیره تأمین به شمار میرود. مایکروسافت در حال حرکت به سمت ترکیب کار حضوری با دورکاری است و به منظور پشتیبانی از این تغییر، به طراحی شبکه با مدل «اعتماد صفر» روی آورده است. در این مدل فرض میشود که شبکه مورد نفوذ قرار گرفته و گستره شبکه فراتر از فایروال شرکت است. همچنین نیاز کارکنان به استفاده از تجهیزات شخصی خود، مد نظر قرار میگیرد. آرسنو به سازمانها پیشنهاد میکند ابتدا MFA را روی حسابهای کاربری با ریسک بالا پیاده کنند و سپس به حسابهای بعدی رسیدگی کنند. حال، نوبت پرسیدن سؤال سخت از مایکروسافت است. چگونه مایکروسافت که دارای کسب و کار 10 میلیارد دلاری در حوزه امنیت سایبری است، قربانی حمله سولارویندز شد. آرسنو پاسخ میدهد: ما از سولارویندز در محیط خودمان استفاده میکردیم و نسخههای آسیبپذیر آن را شناسایی و جایگزین کردیم و در مورد این رویداد شفاف عمل کردهایم. ما در مورد نحوه مدیریت برنامههای زنجیره تأمین و همچنین درباره نحوه ارزیابی آنچه در زنجیره تأمین وجود دارد در حال تجدید نظر هستیم. من مایلم مفهوم اعتماد صفر را به حوزه زنجیره تأمین گسترش دهم، یعنی فرض را بر این بگذاریم که هیچ خطی از کد، توسط فرد مورد اعتماد یا روی رایانه سالم نوشته نشده است. |
منبع: ZDNet
|