Säkerhetssessioner på Microsoft Ignite

   31 jan 2018

Microsoft Ignite är en konferens i sin egen klass. 2017 hölls den i Orlando, Florida, och turligt nog så hade staden hunnit återhämta sig från orkanerna som drabbat den. För att husera de uppskattningsvis 25 000 deltagarna hade Microsoft hyrt ett konferenscenter som bestod av tre enorma byggnader, från ände till ände var det 15 minuters rask promenad i den heta luften. Man fick alltså se till att vara lite taktisk med vilka sessioner man planerade in.

MS Ignite

2017 presenterades ett brett spektrum av sessioner, till exempel inom AI, Mixed Reality och Microsoft 365. Ett spår som alla nog behöver tänka lite mer på är säkerhet, och där fanns ett utbud av allt från lösenord till penetration testing och brandväggsinställningar, men jag tänkte här ta upp något som är relevant för bokstavligt alla företag.

Lösenord är något alla känner till, något de allra flesta använder. Tyvärr är det också en väldig sårbarhet och en huvudvärk. Inte bara läcks det databaser med lösenord titt som tätt, utan man måste även ta i åtanke den mänskliga faktorn. I nulägen används lösenord som är svåra för människor att komma ihåg och lätta för datorer att gissa, vilket leder till återanvändning, att lösenord skrivs ner, och även att de ofta är osäkra.

Ett sätt som Microsoft jobbar för att göra detta bättre är Windows Hello, ett system som bygger på PKI och lokal autentisering. I korta drag innebär det att från användarens perspektiv loggar de in på sin dator med hjälp av fingeravtryck, ansiktsigenkänning eller en PIN. I bakgrunden så är fingeravtrycket bara lagrat lokalt på datorn, för att logga in mot nätverket så används fingeravtrycket för att låsa upp en nyckel som i sin tur kan användas för att bevisa för nätverket vem man är utan att man skickar iväg någon känslig data. Detta skyddar mot en rad attacker, och har dessutom fördelen att det inte går att glömma bort sitt fingeravtryck.

En annan lösning som presenterades är UbiKey. Det är en fysisk apparat som liknar en USB-sticka med en knapp. Trycker man på knappen skickar den över en serie data, vilket kan liknas vid ett väldigt långt lösenord. Detta kan man till exempel använda för att ge access snabbt och smidigt, stickan används som lösenord. Exemplet som gavs var en butik med säsongsarbetare som behövde tillgång till terminalerna runt om i butiken. Naturligtvis innebär detta en risk om man inte håller koll på stickan, vem som helst som håller den i sin hand har också tillgång till det system som den låser upp.

Den tredje approachen som togs var tvåfaktorsautentisering. I Sverige är detta inget nytt, men det är bra att Microsoft försöker sätta det i bruk även i resten av världen. Microsoft Authenticator App är en app som man ansluter sitt Microsoft-konto till, när man sedan vill logga in får man en kod till appen som man matar in istället för ett lösenord. Här är styrkan att du kan bevisa att du har ett fysiskt objekt som bara du kan ha. Skillnaden mot UbiKey är att de flesta har någon slags lösenord på sin mobil, men även här är det en riskfaktor att bli av med mobilen.

Microsoft Ignite är en konferens som vi försöker besöka. Även 2018 hålls den i Orlando i september.

Cecilia Geijer