微软首席信息安全官：我们为什么不需要密码

微软是世界上受攻击最多的公司之一，身为微软的网络安全负责人，Bret Arsenault 深知这一点。

那是 2017 年 6 月的一个晚上，凌晨 4 点，Brett Arsenault 突然被手机铃声惊醒。

一场后来被称为“NotPetya”的网络攻击已经开始锁定乌克兰境内的电脑，导致不少电脑被强制锁定。

起初，这看起来像是一次普通的勒索软件攻击，在这种攻击中，企业可以靠付费打开被锁定的电脑。但 NotPetya 似乎与众不同——它像蠕虫病毒一样快速传播，受到攻击的公司很快发现：根本没有协商解锁金额的机会，他们无法继续操作电脑。

Arsenault 在了解情况后迅速与东欧和美国的员工通了电话。他要求工作人员在 10 分钟内切断乌克兰的访问路径，以阻止恶意软件从乌克兰的微软办公室扩散出去。

工作人员说他们不认为病毒会这么快扩散出去，但 Arsenault 一再坚持，工作人员才终于执行了指令。

“如果你的决定是正确的，他们会说这是你职责所在；如果做错了，你就会被解雇。”Arsenault 表示：“所以我的团队从不认为有什么是‘小问题’，这可能是这份工作最难的部分，既不能过于兴奋，又不能反应太迟钝。”

Arsenault 的工作可能是世界上最难的，因为他要对全球最大的科技公司之一的董事会负责，这家公司为全球大多数其他公司提供无处不在的产品和软件。

但 Arsenault 说，他从 NotPetya 事件以及微软每年发生的其他 6.5 万亿次事故中吸取的教训，是可以被那些规模小得多的企业甚至个人学习并加以应用的。

而这些经验中，Arsenault 认为最重要的一个是：超越对密码的依赖。

微软和它的客户一样，总是会被被垃圾邮件、诈骗和钓鱼软件 / 链接淹没。Arsenault 说，这些常见的东西仍然构成了大多数攻击的主体。

他说，基于电子邮件和基于密码的攻击是从最简单的欺诈到最复杂、最多方面的黑客攻击的基础。

“多年前我们都宣称，身份认证将成为新的边界。人们非常注重利用身份认证，但这已经成为一个经典案例：黑客不会选择入侵，而会直接登录受害者的 ID。我认为这对我们来说是一件非常非常重要的事情。”

“密码喷涂”是一种传统的攻击方法，攻击者试图使用一些最常用的密码同时访问大量帐户。它简单但有效，特别是在没有其他方法对员工进行身份验证的情况下。

一旦攻击者能够使用一个常用密码通过一个员工身份访问网络，他就可以开始进行更具破坏性的工作，比如窃取公司信息或冒充员工进行金融诈骗。

Arsenault 说：“到目前位置，我们仍然看到很多人试图使用密码喷涂进行攻击。防止密码喷涂的最好方法就是删除密码。如果你有密码，你就必须启用多元素身份验证。”——也就是说，使用密码和另一种形式的身份验证相结合，比如随机发送给用户手机的一组号码。

“我们看到的是：很多很多人都只专注于消去这个向量，而不是。”

Arsenault 说，90% 的微软员工无需密码就可以登录公司网络。这反映了微软多年来支持的“无密码的未来”，这一做法也以产品为后盾，让消费者不用再回想那一连串令人头疼的代码。

相反，微软员工使用多种其他登录选项，包括 Windows Hello 和 Authenticator 应用程序，后者提供了人脸识别和指纹等其他登录选项。

微软是少数几家希望彻底消除密码的公司之一，其他科技巨头也在努力帮助客户减少对密码的依赖。

例如，谷歌一直在测试更强大的密码替代品，比如 USB 密钥卡，它可以插入客户的电脑，并为登录提供第二个身份验证。谷歌去年表示，这种方法确实降低了了员工被钓鱼攻击的成功率。

在去年收购了双因素认证初创企业 Duo 之后，思科也在致力于创造一个超越简单密码的未来。

对于那些对身份、密码和员工权限有着严格规定的公司来说，网络安全高管很难做出任何改变。Arsenault 说，这就是组织结构应该发挥作用的地方。

对于网络安全高管来说，有一种常见的说法是：在一些数据的支持下，他们的任期通常会持续大约三年，而且往往在公司遭遇黑客入侵时结束。

Arsenault 的任期要长得多：他从 1990 年起就在微软工作，从 2009 年起担任 CISO（首席信息安全官）。他说，许多公司对网络安全的短期思考可能会因为 CISO 的短期任期而加剧。与高层管理人员，尤其是董事会建立长期联系，对于应对新威胁所需的快速变革至关重要。

他还指出，微软在科技公司中采用了一种流行的安全模式：联邦网络安全。这意味着微软的每一款产品都有自己的网络安全主管，更专注于在特定产品中构建安全性，并应对客户的问题。

“我们有一个类似于 red-teaming 的联合模式。”Arsenault 说。red-teaming 指的是允许有道德的黑客积极攻击公司的网络和产品，以检测缺陷的过程。“我们还做了第三层外部威胁测试，针对‘未实现的’威胁，或者那些看起来像是我们想要解决的问题。他说，通过这种方式，公司可以预测下一次像 NotPetya 这样的大规模攻击，并在攻击发生之前找出应对措施。

https://www.cnbc.com/2019/05/01/microsoft-ciso-bret-arsenault-wants-to-eliminate-passwords.html

点个在看少个 bug