Tegnap megkezdődött a Microsoft éves fejlesztői konferenciája, az Ignite. Az online térbe szorult rendezvényen – mintegy reagálva a helyzetre – kiemelten foglalkoztak a virtuális tér kiterjesztésével és biztonságosabbá tételével. Bejelentették például az azure-os Mesh nevű platformot, amellyel keresztplatformos mixed reality appokat lehet fejleszteni. Kiterjesztik a Teams kollaborációs képességeit, a Verizon BlueJeans nevű videokonferencia rendszeréhez is beleépítettek egy gatewayt. Bővítik a LinkedIn toborzást segítő szolgáltatásait, a Marketplaces megkönnyíti a szabadúszó munkavállalók megtalálását. És még hosszan lehetne sorolni (akit érdekelnek a részletek, és nem tudja online követni a konferenciát, itt talál rövid összefoglalókat az újdonságokról).

Középpontban a biztonság

Bár ezek fontos újdonságok, a legtöbben mégis a biztonsággal kapcsolatos bejelentésekre figyeltek: vagy azért, mert olyan aktuális ügyekhez kötődtek, mint az Azure Active Directory szerepe a SolarWinds-támadásban, vagy azért, mert hiánypótló fejlesztés, mint a Teamshez érkező végponti titkosítás (E2EE – end-to-end-encryption). (A Zoom begyorsítva a fejlesztést tavaly októberben adta ki az E2EE preview-t.)

A Teams végponti titkosításának preview-ja még az idei első felévben lesz elérhető néhány korlátozással: első körben csak az üzleti ügyfelek használhatják, és ők is kizárólag a nem ütemezett, "négyszemközti" kommunikációban. Központilag menedzselhető majd, hogy az adott szervezetben ki használhat E2EE-t. A későbbiekben a funkciót kiterjesztik az ütemezett hívásokra és a többrésztvevős online találkozókra is.

Igaztalan lenne a Microsoftot azzal vádolni, hogy nagyon kilógott a sorból az E2EE hiányával. Továbbra is nagyon sok olyan kollaborációs szoftver van – hogy nagyokat említsünk, többek között a Google Meets –, amely csak az átvitel közben titkosítja az adatokat. Pedig a konzumer csetprogramokban (WhatsApp, Telegram) már jó ideje van E2EE, bár más környezetben és más menedzselhetőségi követelménnyel.

Hagyjuk már magunk mögött a jelszavakat!

A másik fontos újítás a felhős címtárszolgáltatást érinti: a Microsoft általánosan elérhetővé tette a jelszó nélküli hitelesítést az Azure Active Directoryban (Azure AD). A felhasználók búcsút mondhatnak ennek az elavult azonosítási formának, és helyette használhatnak például biometrikus azonosítót (arcfelismerés, ujjlenyomatolvasás) vagy önálló hitelesítési alkalmazásokat, hardverkulcsokat is az Azure AD-fiókjukba történő bejelentkezéshez.

Ettől a Microsoft a felhős címtárszolgáltatás biztonságának növekedését várja. A jelszavak használatának túl sok a kockázata. Azon automatizált szabályokkal lehet segíteni, hogy ne legyen egy jelszó túlságosan gyenge. De azon már kevésbé, ha valaki ugyanazt az erős jelszavát használja minden online és hálózati fiókjához. Emellett kellően furmányos adathalász-támadásokkal szinte bármilyen jelszó begyűjthető.

A Microsoft módszeresen terjeszti a jelszó nélküli hitelesítési alternatíváit – hívja fel a figyelmet a The Register. A Windows Hello támogatja az arc- és ujjlenyomat-azonosítást felismerést, sok modern mobiltelefonhoz hasonló ujjlenyomat-olvasót, a korlátozott ideig érvényes hozzáférést biztosító Microsoft Authenticator vagy hardverkulcs használatát. Az Authenticatorhoz hasonló megoldást az Azure AD-hez is tervez a vállalat. Ez egy egyszer használható kód lenne, amit az első bejelentkezéshez vagy a hozzáférés helyreállításához adhatnának ki a felhasználóknak a rendszergazdák.

A SolarWinds miatt különösen aktuális

Az Azure AD biztonságának megerősítése nagyon is aktuális. A SolarWinds-támadással kapcsolatos szenátusi meghallgatás kapcsán ugyanis olyan vád is megfogalmazódott a redmondi vállalattal szemben, hogy a sikeres támadásban szerepet játszhatott, hogy a hekkerek hozzáférhettek a Microsoft forráskódjának ahhoz a részéhez, amely a felhasználók hitelesítését végzi, valamint az is, hogy a Microsoft azonosítási architektúrája túlságosan bonyolult és elavult. Ezt a Microsoft elnöke, Brad Smith tagadta: szerinte az ügyfelek konfigurációs hibái és egyéb hibák eredménye a sikeres támadás. Ha valaki őrizetlenül hagyja a széf vagy az autó kulcsát, nem meglepő, ha azt könnyedén feltörik, fogalmazott az elnök.

A CrowdStrike kiberbiztonsági vállalat vezérigazgatója, George Kurtz viszont az állítja, hogy a Windows hitelesítési architektúrájának rendszerszintű gyengeségei miatt juthattak el a hekkerek simán a felhős környezetig a többtényezős hitelesítés megkerülésével. Kurtz szerint a Microsoftnak sokkal több energiát kellene fordítania az Active Directory és az Azure Active Directory hitelesítési architektúrájának problémáira, vagy teljesen át kellene térnie egy másik módszertanra, amivel egy jelentős fenyegetésvektort számolna fel a világ egyik legelterjedtebb hitelesítési platformján.