[汽车总站网 www.chianautoms.com欢迎你]

　　原标题：微软首席信息安全官：我们为什么不需要密码？

　　黑客、白帽、攻击、防御，安全之道，就在其中。 更多内容点击文末了解更多

　　微软是世界上受攻击最多的公司之一，身为微软的网络安全负责人，Bret Arsenault 深知这一点。

　　那是 2017 年 6 月的一个晚上，凌晨 4 点，Brett Arsenault 突然被手机铃声惊醒。

　　一场后来被称为“NotPetya”的网络攻击已经开始锁定乌克兰境内的电脑，导致不少电脑被强制锁定。

　　起初，这看起来像是一次普通的勒索软件攻击，在这种攻击中，企业可以靠付费打开被锁定的电脑。但 NotPetya 似乎与众不同——它像蠕虫病毒一样快速传播，受到攻击的公司很快发现：根本没有协商解锁金额的机会，他们无法继续操作电脑。

　　Arsenault 在了解情况后迅速与东欧和美国的员工通了电话。他要求工作人员在 10 分钟内切断乌克兰的访问路径，以阻止恶意软件从乌克兰的微软办公室扩散出去。

　　工作人员说他们不认为病毒会这么快扩散出去，但 Arsenault 一再坚持，工作人员才终于执行了指令。

　　“如果你的决定是正确的，他们会说这是你职责所在；如果做错了，你就会被解雇。”Arsenault 表示：“所以我的团队从不认为有什么是‘小问题’，这可能是这份工作最难的部分，既不能过于兴奋，又不能反应太迟钝。”

　　Arsenault 的工作可能是世界上最难的，因为他要对全球最大的科技公司之一的董事会负责，这家公司为全球大多数其他公司提供无处不在的产品和软件。

　　但 Arsenault 说，他从 NotPetya 事件以及微软每年发生的其他 6.5 万亿次事故中吸取的教训，是可以被那些规模小得多的企业甚至个人学习并加以应用的。

　　而这些经验中，Arsenault 认为最重要的一个是：超越对密码的依赖。

　　最简单、最古老但仍然流行的攻击方式

　　微软和它的客户一样，总是会被被垃圾邮件、诈骗和钓鱼软件 / 链接淹没。Arsenault 说，这些常见的东西仍然构成了大多数攻击的主体。

　　他说，基于电子邮件和基于密码的攻击是从最简单的欺诈到最复杂、最多方面的黑客攻击的基础。

　　“多年前我们都宣称，身份认证将成为新的边界。人们非常注重利用身份认证，但这已经成为一个经典案例：黑客不会选择入侵，而会直接登录受害者的 ID。我认为这对我们来说是一件非常非常重要的事情。”

　　“密码喷涂”是一种传统的攻击方法，攻击者试图使用一些最常用的密码同时访问大量帐户。它简单但有效，特别是在没有其他方法对员工进行身份验证的情况下。

　　一旦攻击者能够使用一个常用密码通过一个员工身份访问网络，他就可以开始进行更具破坏性的工作，比如窃取公司信息或冒充员工进行金融诈骗。

　　Arsenault 说：“到目前位置，我们仍然看到很多人试图使用密码喷涂进行攻击。防止密码喷涂的最好方法就是删除密码。如果你有密码，你就必须启用多元素身份验证。”——也就是说，使用密码和另一种形式的身份验证相结合，比如随机发送给用户手机的一组号码。

　　“我们看到的是：很多很多人都只专注于消去这个向量，而不是。”

　　密码本身是无用的

　　Arsenault 说，90% 的微软员工无需密码就可以登录公司网络。这反映了微软多年来支持的“无密码的未来”，这一做法也以产品为后盾，让消费者不用再回想那一连串令人头疼的代码。

　　相反，微软员工使用多种其他登录选项，包括 Windows Hello 和 Authenticator 应用程序，后者提供了人脸识别和指纹等其他登录选项。

　　微软是少数几家希望彻底消除密码的公司之一，其他科技巨头也在努力帮助客户减少对密码的依赖。

　　例如，谷歌一直在测试更强大的密码替代品，比如 USB 密钥卡，它可以插入客户的电脑，并为登录提供第二个身份验证。谷歌去年表示，这种方法确实降低了了员工被钓鱼攻击的成功率。

　　在去年收购了双因素认证初创企业 Duo 之后，思科也在致力于创造一个超越简单密码的未来。

　　网络高管需要直接与董事会对话

　　对于那些对身份、密码和员工权限有着严格规定的公司来说，网络安全高管很难做出任何改变。Arsenault 说，这就是组织结构应该发挥作用的地方。

[汽车总站网 www.chianautoms.com欢迎你]