Nei, du trenger ikke å deaktivere spørsmål om gjenoppretting av passord på Windows 10
Nylig har en gruppe forskere beskrevet et scenario der passordgjenopprettingsspørsmål ble brukt til å bryte inn i Windows 10-PCer. Dette har ført til at noen tyder på at deaktivere funksjonen. Men du trenger ikke å gjøre dette hvis du er en hjemmedatamaskin bruker.
Så, hva skjer her?
Som Ars Technica først rapporterte, har Windows 10 lagt til muligheten til å stille spørsmål om gjenoppretting av passord på lokale kontoer i det siste året. Sikkerhetsforskere drøftet dette og oppdaget at i et bedriftsnettverk kan dette føre til potensielt sårbarhet.
Rett utenfor flaggermuset kan du se to viktige punkter der:
- For det første er hele scenariet avhengig av datamaskiner som er sluttet til et domene nettverk - den typen du vil finne på et bedriftsnettverk med administrerte datamaskiner.
- For det andre gjelder sikkerhetsproblemet for lokale kontoer. Det er spesielt interessant fordi hvis PCen din er en del av et domene, bruker du nesten absolutt en sentralisert domene brukerkonto og ikke en lokal konto. Og sikkerhetsspørsmål er ikke tillatt på domenekontoer som standard.
Det er også et tredje punkt som er enda viktigere. Alt dette krever at den ondsinnede skuespilleren først får tilgang til administratornivå på nettverket. Derfra kan de identifisere maskiner som er koblet til nettverket som fortsatt har lokale kontoer og deretter legge til sikkerhetsspørsmål på disse kontoene.
Hvorfor bry seg?
Tanken er at hvis admins oppdager og tilbakekaller den ondsinnede aktørens tilgang, og deretter endrer alle passordene, kan skuespilleren i teorien komme tilbake til nettverket til disse maskinene og bruke sine tilpassede spørsmål for å tilbakestille passordene og få full tilgang.
Forskerne foreslo at de også kunne bruke et hashing-verktøy for å bestemme det forrige passordet, og deretter gjenopprette det gamle passordet for å skjule deres tilgang. Problemet her er at de fleste domener nettverk ikke tillater gjenbrukte passord som standard.
Når Ars Technica spurte Microsoft om kommentar, var svaret kort:
Den beskrevne teknikken krever at en angriper allerede har administratoradgang
Selv om det kanskje virker stygt i begynnelsen, er det riktig Microsoft sier, og det bringer oss til den virkelige cruxen i saken. Når en ondsinnet skuespiller har tilgang på administrativt nivå på et nettverk, går potensielle skader og veier for angrep langt utover enkle tilbakestilling av passord. Og hvis et nettverk er robust nok til å forhindre at den ondsinnede skuespilleren noensinne får administrativt nivå, så er alt dette moot.
Så til slutt skal vår ondsinnede angriper få tilgang på administratornivå til et bedriftsnettverk som bruker et Windows-domene, finne datamaskiner som kan ha lokale kontoer på dem, og deretter lage sikkerhetsspørsmål slik at de kan komme tilbake til disse datamaskiner hvis de blir oppdaget og låst ut. Og det skal vi være bekymret for når tilgangen til administratornivå gir dem muligheten til å gjøre så mye mer skade allerede.
Har det. Så, gjelder dette for meg?
Hvis du bruker en Windows 10-datamaskin hjemme, er det korte svaret nesten ikke sikkert. Og her er hvorfor:
- Din hjemme-PC er mest sannsynlig ikke tilsluttet et domene.
- Selv om det var, må du bruke en lokal konto, og de fleste på Windows 10 bruker sannsynligvis en Microsoft-konto for å logge på. Dette skyldes at Windows 10 krever bruk av en Microsoft-konto for at mange funksjoner skal fungere riktig. Og mens du kan ta noen ekstra skritt for å opprette en lokal konto i stedet, gjør Microsoft ikke det mest åpenbare valget. Hvis du bruker en Microsoft-konto, har du ikke mulighet til å bruke spørsmål om tilbakestilling av passord.
- For å dra nytte av dette, trenger noen å ha enten ekstern eller fysisk tilgang til PCen din. Og med det nivået av tilgang er spørsmål om tilbakestilling av passord det minste av dine bekymringer.
Så sjansene er svært høye at ingen av denne undersøkelsen gjelder deg. Men selv om du bruker en lokal konto som er sluttet til et domene, kommer alt dette ned til et gammelt sett med spørsmål. Hvor mye bekvemmelighet bør du gi opp i navnet på sikkerheten? Omvendt, hvor mye sikkerhet bør du gi opp i navnet på bekvemmeligheten?
I dette tilfellet er sjansene for at en dårlig skuespiller får tilgang til maskinen og bruker sikkerhetsspørsmål for å få full kontroll, ekstremt ekstern. Og sjansene for å glemme passordet ditt og du trenger spørsmålene er litt høyere. Ta vare på din situasjon, og gjør det beste valget for deg.