Panoramica della strategia senza password
Questo articolo descrive la strategia senza password di Microsoft e come le funzionalità di sicurezza di Windows consentono di implementarla.
Quattro passaggi per la libertà delle password
Microsoft sta lavorando duramente per creare un mondo in cui le password non sono più necessarie. Questo è il modo in cui Microsoft prevede l'approccio dei quattro passaggi per terminare l'era delle password per le organizzazioni:
Distribuire un'opzione di sostituzione della password
Prima di abbandonare le password, è necessario qualcosa per sostituirle. Windows Hello for Business e le chiavi di sicurezza FIDO2 offrono credenziali a due fattori complesse e protette dall'hardware che consentono l'accesso Single Sign-On a Microsoft Entra ID e Active Directory.
Distribuire Windows Hello for Business o le chiavi di sicurezza FIDO2 è il primo passaggio verso un ambiente senza password. È probabile che gli utenti usino queste funzionalità a causa della loro praticità, soprattutto in combinazione con la biometria. Tuttavia, alcuni flussi di lavoro e applicazioni potrebbero comunque richiedere password. Questa fase iniziale riguarda l'implementazione di una soluzione alternativa alle password e l'abituarsi agli utenti.
Ridurre l'area di superficie delle password visibile all'utente
Con un'opzione di sostituzione delle password e le password coesistenti nell'ambiente, il passaggio successivo consiste nel ridurre l'area di superficie delle password. L'ambiente e i flussi di lavoro devono smettere di richiedere password. L'obiettivo di questo passaggio è ottenere uno stato in cui gli utenti sanno di avere una password, ma non la usano mai. Questo stato consente di impedire agli utenti di fornire una password ogni volta che viene visualizzata una richiesta di password nel computer. Questo comportamento è la modalità di phished delle password. Gli utenti che raramente, se non del tutto, usano la propria password non sono in grado di fornirla. Le richieste di password non sono più la norma.
Eseguire la transizione a una distribuzione senza password
Dopo aver eliminato l'area delle password visibile all'utente, l'organizzazione può iniziare a eseguire la transizione degli utenti in un ambiente senza password. In questa fase gli utenti non digitano, modificano o conoscono mai la password.
L'utente accede a Windows usando le chiavi di sicurezza Windows Hello for Business o FIDO2 e dispone dell'accesso Single Sign-On alle risorse di Microsoft Entra ID e Active Directory. Se l'utente è costretto a eseguire l'autenticazione, l'autenticazione usa chiavi di sicurezza Windows Hello for Business o FIDO2.
Eliminare le password dalla directory identity
Il passaggio finale del percorso senza password consiste nel fatto che le password non esistono. In questa fase, le directory di identità non archivia alcuna forma di password.
Prepararsi per il percorso senza password
La strada per essere senza password è un viaggio. La durata del percorso varia per ogni organizzazione. È importante che i decision maker IT comprendano i criteri che influenzano la lunghezza di tale percorso.
La risposta più intuitiva è la dimensione dell'organizzazione, ma cosa definisce esattamente le dimensioni? È possibile esaminare questi fattori per ottenere un riepilogo delle dimensioni dell'organizzazione:
| Fattore di dimensione | Dettagli |
|---|---|
| Numero di reparti | Il numero di reparti all'interno di un'organizzazione varia. La maggior parte delle organizzazioni dispone di un set comune di reparti, ad esempio leadership esecutiva, risorse umane, contabilità, vendite e marketing. Le organizzazioni di piccole dimensioni potrebbero non segmentare in modo esplicito i propri reparti, mentre quelle più grandi potrebbero. Inoltre, possono essere presenti sottodipartimenti e sottogruppi di tali sottogruppi. È necessario conoscere tutti i reparti all'interno dell'organizzazione ed è necessario sapere quali reparti usano i computer e quali no. Va bene se un reparto non usa computer (probabilmente rari, ma accettabili). Questa circostanza significa che c'è un reparto in meno con cui devi occuparti. Tuttavia, assicurarsi che questo reparto sia incluso nell'elenco e che non sia applicabile. Il conteggio dei reparti deve essere accurato e accurato, oltre a conoscere gli stakeholder per i reparti che hanno messo voi e il vostro personale sulla strada della libertà di password. Realisticamente, molti di noi perdono di vista il nostro organigramma e come cresce o si riduce nel tempo. Questa realizzazione è il motivo per cui è necessario inventariare tutti loro. Inoltre, non dimenticare di includere reparti esterni, ad esempio fornitori o partner federati. Se l'organizzazione diventa senza password, ma i partner continuano a usare le password per accedere alle risorse aziendali, è consigliabile conoscerle e includerle nella strategia senza password. |
| Gerarchia dell'organizzazione o del reparto | L'organizzazione e la gerarchia dei reparti sono i livelli di gestione all'interno dei reparti o dell'organizzazione nel suo complesso. Il modo in cui viene usato il dispositivo, le applicazioni e il modo in cui vengono usate, molto probabilmente differisce tra ogni reparto, ma anche all'interno della struttura del reparto. Per determinare la strategia senza password corretta, è necessario conoscere queste differenze all'interno dell'organizzazione. È probabile che un dirigente usi il dispositivo in modo diverso rispetto a un membro del middle management nel reparto vendite. Entrambi questi casi utente sono probabilmente diversi da come un singolo collaboratore nel reparto del servizio clienti usa il proprio dispositivo. |
| Numero e tipo di applicazioni e servizi | La maggior parte delle organizzazioni ha molte applicazioni e raramente ha un elenco centralizzato accurato. Le applicazioni e i servizi sono gli elementi più critici nella valutazione senza password. Le applicazioni e i servizi richiedono un notevole sforzo per passare a un tipo diverso di autenticazione. La modifica di criteri e procedure può essere un'attività scoraggiante. Si consideri il compromesso tra l'aggiornamento delle procedure operative standard e i criteri di sicurezza rispetto alla modifica di 100 righe (o più) del codice di autenticazione nel percorso critico dell'applicazione CRM sviluppata internamente. L'acquisizione del numero di applicazioni usate è più semplice quando si hanno i reparti, la gerarchia e gli stakeholder. In questo approccio è necessario disporre di un elenco organizzato di reparti e della gerarchia in ognuno di essi. È ora possibile associare le applicazioni usate da tutti i livelli all'interno di ogni reparto. Si vuole anche documentare se l'applicazione è sviluppata internamente o commercialmente disponibile all'esterno. Se quest'ultimo, documentare il produttore e la versione. Inoltre, non dimenticare le applicazioni o i servizi basati sul Web durante l'inventario delle applicazioni. |
| Numero di persone di lavoro | Le persone di lavoro sono il percorso in cui convergono i tre sforzi precedenti. Si conoscono i reparti, i livelli dell'organizzazione all'interno di ogni reparto, il numero di applicazioni usate rispettivamente da ogni e il tipo di applicazione. Da queste informazioni si vuole creare un utente di lavoro. Un utente di lavoro classifica una categoria di utente, titolo o ruolo (collaboratore singolo, manager, middle manager e così via), all'interno di un reparto specifico a una raccolta di applicazioni usate. C'è un'alta probabilità che tu abbia molti utenti del lavoro. Questi utenti di lavoro diventeranno unità di lavoro, a cui si fa riferimento nella documentazione e nelle riunioni. Devi dare loro un nome. Assegna ai tuoi personaggi nomi semplici e intuitivi come Amanda - Accounting, Mark - Marketing o Sue - Sales. Se i livelli dell'organizzazione sono comuni tra i reparti, decidere un nome che rappresenta i livelli comuni in un reparto. Amanda, ad esempio, potrebbe essere il nome di un singolo collaboratore in un determinato reparto, mentre il nome Sue potrebbe rappresentare qualcuno del middle management in un determinato reparto. Inoltre, è possibile usare suffissi (ad esempio I, II, Senior e così via) per definire ulteriormente la struttura di reparto per una determinata persona. In definitiva, creare una convenzione di denominazione che non richieda agli stakeholder e ai partner di leggere un lungo elenco di tabelle o un anello del decodificatore segreto. Inoltre, se possibile, provare a mantenere i riferimenti come nomi di persone. Dopotutto, stai parlando di una persona che fa parte di quel reparto e che usa quel software specifico. |
| Struttura IT dell'organizzazione | Le strutture dei reparti IT possono variare di più rispetto all'organizzazione. Alcuni reparti IT sono centralizzati, mentre altri sono decentralizzati. Inoltre, la strada verso la libertà delle password richiederà probabilmente l'interazione con il team di autenticazione client , il team di distribuzione , il team di sicurezza , il team PKI , il team di identità , il team cloud e così via. La maggior parte di questi team è il tuo partner nel percorso verso la libertà delle password. Assicurarsi che ci sia uno stakeholder senza password in ognuno di questi team e che lo sforzo sia compreso e finanziato. |
Valutare l'organizzazione
A questo momento è possibile capire perché si tratta di un percorso e non di un'attività rapida. È necessario analizzare le superfici delle password visibili all'utente per ogni utente di lavoro. Dopo aver identificato le superfici delle password, è necessario mitigarle. La risoluzione di alcune superfici delle password è semplice, ovvero esiste già una soluzione nell'ambiente e si tratta solo di spostare gli utenti in tale ambiente. La risoluzione di alcune superfici delle password potrebbe esistere, ma non viene distribuita nell'ambiente. Tale risoluzione comporta un progetto che deve essere pianificato, testato e quindi distribuito. È probabile che il progetto si estenda su più reparti IT con più persone e potenzialmente su uno o più sistemi distribuiti. Questi tipi di progetti richiedono tempo e richiedono cicli dedicati. Questo stesso sentimento vale per lo sviluppo di software interno. Anche con metodologie di sviluppo agile, è fondamentale cambiare il modo in cui un utente esegue l'autenticazione a un'applicazione. Senza la pianificazione e i test appropriati, ha il potenziale di influenzare gravemente la produttività.
Il tempo necessario per completare il percorso senza password varia a seconda dell'allineamento dell'organizzazione a una strategia senza password. L'accordo dall'alto verso il basso che un ambiente senza password è l'obiettivo dell'organizzazione semplifica le conversazioni. Conversazioni più semplici significano meno tempo dedicato a convincere le persone e più tempo impiegato per raggiungere l'obiettivo. L'accordo top-down, come priorità all'interno dei ranghi di altri progetti IT in corso, aiuta tutti a comprendere come assegnare priorità ai progetti esistenti. L'accordo sulle priorità dovrebbe ridurre e ridurre al minimo le escalation a livello di manager e dirigenti. Dopo queste discussioni aziendali, le moderne tecniche di gestione dei progetti vengono usate per continuare il lavoro senza password. L'organizzazione alloca le risorse in base alla priorità (dopo aver concordato la strategia). Queste risorse:
- Usare i personaggi del lavoro
- Organizzare e distribuire test di accettazione degli utenti
- Valutare i risultati dei test di accettazione utente per le superfici delle password visibili all'utente
- Collaborare con gli stakeholder per creare soluzioni che mitigano le superfici delle password visibili all'utente
- Aggiungere la soluzione al backlog del progetto e assegnare priorità ad altri progetti
- Distribuire la soluzione
- Eseguire test di accettazione utente per verificare che la soluzione mititi l'area delle password visibile all'utente
- Ripetere il test in base alle esigenze
Il percorso dell'organizzazione verso la libertà delle password potrebbe richiedere del tempo. Il conteggio del numero di persone di lavoro e del numero di applicazioni è un buon indicatore dell'investimento. Si spera che l'organizzazione stia crescendo, il che significa che è improbabile che l'elenco di persone e l'elenco di applicazioni si rimpicciolino. Se il lavoro per andare senza password oggi è n, allora è probabile che andare senza password domani è n x 2 o più, n x n. Non lasciare che le dimensioni o la durata del progetto siano una distrazione. Man mano che si procede attraverso ogni persona di lavoro, le azioni e le attività diventano più familiari per l'utente e gli stakeholder. Definire l'ambito del progetto in fasi realistiche e di dimensioni considerevoli, selezionare le persone di lavoro corrette e presto si vedrà che parti dell'organizzazione passano a uno stato senza password.
Qual è la migliore guida per iniziare il percorso verso la libertà delle password? Si vuole mostrare alla gestione un modello di verifica il prima possibile. Idealmente, si vuole mostrarlo in ogni passaggio del percorso senza password. Mantenere la strategia senza password in primo piano e mostrare progressi coerenti mantiene tutti concentrati.
Persona di lavoro
Si inizia con i personaggi del lavoro. Questi facevano parte del processo di preparazione. Hanno un nome di persona, ad esempio Amanda - Accounting II, o qualsiasi altra convenzione di denominazione definita dall'organizzazione. Tale persona di lavoro include un elenco di tutte le applicazioni usate da Amanda per svolgere i compiti assegnati nel reparto contabilità. Per iniziare, è necessario selezionare un utente di lavoro. Si tratta della persona di lavoro di destinazione che si abilita per completare il percorso.
Suggerimento
Evitare di usare qualsiasi persona di lavoro del reparto IT. Questo metodo è probabilmente il modo peggiore per iniziare il percorso senza password. I ruoli IT sono molto difficili e richiedono molto tempo. I lavoratori IT hanno in genere più credenziali, eseguono una moltitudine di script e applicazioni personalizzate e sono i peggiori trasgressori dell'utilizzo delle password. È meglio salvare questi personaggi di lavoro per la metà o la fine del viaggio.
Esaminare la raccolta di persone di lavoro. All'inizio del percorso senza password, identificare le persone con il minor numero di applicazioni. Questi utenti di lavoro potrebbero rappresentare un intero reparto o due. Questi ruoli sono i personaggi di lavoro perfetti per il modello di verifica (POC) o pilota.
La maggior parte delle organizzazioni ospita il poc in un lab di test o in un ambiente. Se si esegue questo test con una strategia senza password, potrebbe essere più impegnativo e richiedere più tempo. Per eseguire il test in un lab, è innanzitutto necessario duplicare l'ambiente dell'utente di destinazione. Questo processo potrebbe richiedere alcuni giorni o diverse settimane, a seconda della complessità dell'utente di lavoro di destinazione.
Si vuole bilanciare i test di laboratorio con fornire rapidamente i risultati alla gestione. Continuare a mostrare progressi nel percorso verso la libertà delle password è sempre una buona cosa. Se sono disponibili modi per eseguire il test nell'ambiente di produzione con un rischio basso o nullo, potrebbe essere vantaggioso per la sequenza temporale.
Il percorso verso la libertà delle password consiste nel portare ogni persona di lavoro in ogni passaggio del processo. All'inizio, è consigliabile lavorare con un utente alla volta per garantire che i membri del team e gli stakeholder conoscano il processo. Una volta a proprio agio con il processo, è possibile coprire il numero di persone di lavoro in parallelo come le risorse consentono. Il processo ha un aspetto simile al seguente:
Distribuire un'opzione di sostituzione senza password
- Identificare gli utenti di test che rappresentano l'utente di lavoro di destinazione
- Distribuire Windows Hello for Business per testare gli utenti
- Verificare che le password e Windows Hello for Business funzionino
Ridurre l'area delle password visibile all'utente
- Flusso di lavoro dell'utente di test del sondaggio per l'utilizzo della password
- Identificare l'utilizzo delle password e pianificare, sviluppare e distribuire mitigazioni delle password
- Ripetere fino a quando l'utilizzo della password utente non viene mitigato
- Rimuovere le funzionalità delle password da Windows
- Verificare che nessuno dei flussi di lavoro richieda password
Eseguire la transizione in uno scenario senza password
- Campagna di sensibilizzazione e formazione degli utenti
- Includere gli utenti rimanenti che si adattano alla persona di lavoro
- Verificare che nessuno degli utenti degli utenti di lavoro necessiti di password
- Configurare gli account utente per impedire l'autenticazione della password
Dopo aver spostato correttamente un utente di lavoro alla libertà delle password, è possibile assegnare priorità agli utenti di lavoro rimanenti e ripetere il processo.
Passaggi successivi
Commenti e suggerimenti
Presto disponibile: nel corso del 2024 verranno dismessi i problemi di GitHub come meccanismo di feedback per il contenuto e verranno sostituiti con un nuovo sistema di feedback. Per altre informazioni, vedere: https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per