آرسنو در آن زمان اعلام کرده بود که سیاست تغییر گذرواژه در هر 71 روز یک بار، حذف شده است. آرسنو به عنوان مدیر ارشد امنیت اطلاعات مایکروسافت، علاوه بر حفاظت از محصولات مایکروسافت، مسئول امنیت شبکه داخلی شرکت نیز هست، که 160 هزار کارمند از آن استفاده می‌کنند. با احتساب تولیدکنندگان، او مسئول امنیت 240 هزار حساب کاربری در سطح جهان است. حذف گذرواژه و جایگزینی آن با گزینه‌های بهتری مثل احراز هویت چندعاملی (MFA) از اولویت‌های او است.

مایکروسافت سیاست گذرواژه خود را طی مراحلی تغییر داده است. ابتدا در ژانویه 2019، زمان اعتبار گذرواژه را یک سال در نظر گرفت. سپس با توجه به نتایج کار، در ژانویه 2020، زمان اعتبار گذرواژه را نامحدود کرد.

آرسنو به جای آنکه از MFA صحبت کند، از عبارت حذف گذرواژه استفاده می‌کند. «چون هیچ کس گذرواژه را دوست ندارد. شما از گذرواژه متنفرید، کاربران متنفرند، دپارتمان‌های IT متنفرند، تنها کسانی که گذرواژه را دوست دارند، مجرمان هستند. آنها عاشق گذرواژه اند».

یادم است شعاری داشتیم که می‌گفت «MFA در همه جا». اکنون می‌بینم که این هدف امنیتی درست، اما راهکار اشتباهی بود. بهتر است بگوییم «ما می‌خواهیم گذرواژه را حذف کنیم». کلماتی که انسان استفاده می‌کند مهم است. یک تغییر کلامی ساده باعث تغییر فرهنگ و نوع نگاه به هدف شد. مهم‌تر از آن، طراحی ما و محصولی که ایجاد کردیم (مثل Windows Hello for business) نیز تحت تأثیر این ادبیات قرار گرفت. اگر ما گذرواژه را حذف و آن را با هر شکلی از بیومتریک جایگزین کنیم، منجر به سرعت بیشتر و تجربه کاربری بهتر خواهد شد.

اکنون تنها 18 درصد از مشتریان مایکروسافت MFA را فعال کرده‌اند. با توجه به رایگان بودن MFA برای مشتریان، این رقم بسیار پایین است. همچنین فعالیت باج افزارها نشان داده است که وقتی تنها یک حساب کاربری کلیدی مورد نفوذ قرار گیرد، ممکن است خسارات چند میلیون دلاری رخ دهد.

استفاده از گذرواژه و نام کاربری، دارای ضعف ذاتی است، زیرا می‌تواند در حمله فیشینگ یا password-spraying به سرقت رود. MFA این ضعف را برطرف می‌کند. بنابراین هرچند حفاظت اکانت‌ها با استفاده از MFA مهاجمان را به طور کامل متوقف نمی‌کند، اما کار آنها را سخت‌تر می‌کند.

تکنیک password-spraying از استفاده مکرر از گذرواژه‌ها سوء استفاده می‌کند و از روش‌هایی بود که مهاجمان با استفاده از آن، به شرکت سولارویندز و شرکت‌های مشتری آن حمله کردند که یک حمله زنجیره تأمین به شمار می‌رود.

مایکروسافت در حال حرکت به سمت ترکیب کار حضوری با دورکاری است و به منظور پشتیبانی از این تغییر، به طراحی شبکه با مدل «اعتماد صفر» روی آورده است. در این مدل فرض می‌شود که شبکه مورد نفوذ قرار گرفته و گستره شبکه فراتر از فایروال شرکت است. همچنین نیاز کارکنان به استفاده از تجهیزات شخصی خود، مد نظر قرار می‌گیرد.

آرسنو به سازمان‌ها پیشنهاد می‌کند ابتدا MFA را روی حساب‌های کاربری با ریسک بالا پیاده کنند و سپس به حساب‌های بعدی رسیدگی کنند.

حال، نوبت پرسیدن سؤال سخت از مایکروسافت است. چگونه مایکروسافت که دارای کسب و کار 10 میلیارد دلاری در حوزه امنیت سایبری است، قربانی حمله سولارویندز شد. آرسنو پاسخ می‌دهد: ما از سولارویندز در محیط خودمان استفاده می‌کردیم و نسخه‌های آسیب‌پذیر آن را شناسایی و جایگزین کردیم و در مورد این رویداد شفاف عمل کرده‌ایم. ما در مورد نحوه مدیریت برنامه‌های زنجیره تأمین و همچنین درباره نحوه ارزیابی آنچه در زنجیره تأمین وجود دارد در حال تجدید نظر هستیم.

من مایلم مفهوم اعتماد صفر را به حوزه زنجیره تأمین گسترش دهم، یعنی فرض را بر این بگذاریم که هیچ خطی از کد، توسط فرد مورد اعتماد یا روی رایانه سالم نوشته نشده است.