Nylig beskrev en gruppe forskere et scenario der spørsmål om passordgjenoppretting ble brukt til å bryte seg inn på Windows 10-PCer. Dette har ført til at noen foreslår å deaktivere funksjonen. Men du trenger ikke å gjøre dette hvis du er en hjemmedatamaskinbruker.
Så, hva skjer her?
Som Ars Technica først rapportert, har Windows 10 lagt til muligheten til å stille spørsmål om passordgjenoppretting på lokale kontoer det siste året. Sikkerhetsforskere fordypet seg i dette og oppdaget at på et forretningsnettverk kan dette føre til potensiell sårbarhet.
Med en gang kan du se to viktige punkter der:
For det første er hele scenariet avhengig av datamaskiner koblet til et domenenettverk – den typen du finner på et forretningsnettverk med administrerte datamaskiner.
For det andre gjelder sårbarheten lokale kontoer. Det er spesielt interessant fordi hvis PC-en din er en del av et domene, bruker du nesten helt sikkert en sentralisert domenebrukerkonto og ikke en lokal konto. Og sikkerhetsspørsmål er ikke tillatt på domenekontoer som standard.
Det er også et tredje punkt som er enda viktigere. Alt dette krever at den ondsinnede aktøren først får tilgang på administratornivå på nettverket. Derfra kunne de identifisere maskiner koblet til nettverket som fortsatt har lokale kontoer og deretter legge til sikkerhetsspørsmål til disse kontoene.
Hvorfor bry seg?
Ideen er at hvis administratorer oppdager og tilbakekaller den ondsinnede aktørens tilgang, og deretter endrer alle passordene, kan aktøren i teorien komme tilbake til nettverket til disse maskinene og bruke deres egendefinerte spørsmål til å tilbakestille disse passordene og få full tilgang igjen. .
Forskerne foreslo at de også kunne bruke et hashingverktøy for å finne det forrige passordet, og deretter gjenopprette det gamle passordet for å skjule tilgangen deres. Problemet her er at de fleste domenenettverk ikke tillater gjenbrukte passord som standard.
Da Ars Technica ba Microsoft om kommentar, var svaret kort:
Den beskrevne teknikken krever at en angriper allerede har administratortilgang
Selv om det kan virke stumpe i begynnelsen, er det som Microsoft antyder riktig, og det bringer oss til sakens egentlige kjerne. Når en ondsinnet aktør har administrativ tilgang på et nettverk, går den potensielle skaden og angrepsveiene langt utover enkle triks for tilbakestilling av passord. Og hvis et nettverk er robust nok til å forhindre at den ondsinnede aktøren noen gang oppnår administrativt nivå, er alt dette uklart.
Så til slutt ville den ondsinnede angriperen vår trenge å få tilgang på administratornivå til et forretningsnettverk som bruker et Windows-domene, finne datamaskiner som kan ha lokale kontoer på seg, og deretter opprette sikkerhetsspørsmål slik at de kan komme tilbake til disse. datamaskiner hvis de blir oppdaget og låst ute. Og vi skal visstnok være bekymret for det når tilgangen deres på administratornivå gir dem muligheten til å gjøre så mye mer skade allerede.
Har det. Så, gjelder dette meg?
Hvis du bruker en Windows 10-datamaskin hjemme, er det korte svaret nesten helt sikkert ikke. Og her er hvorfor:
Hjemme-PC-en din er mest sannsynlig ikke koblet til et domene.
Selv om det var det, må du bruke en lokal konto, og de fleste på Windows 10 bruker sannsynligvis en Microsoft-konto for å logge på. Dette er fordi Windows 10 krever at du bruker en Microsoft-konto for at mange funksjoner skal fungere riktig. Og selv om du kan ta noen ekstra trinn for å opprette en lokal konto i stedet, gjør ikke Microsoft det til det mest åpenbare valget. Hvis du bruker en Microsoft-konto, har du ikke muligheten til å bruke spørsmål om tilbakestilling av passord.
For å dra nytte av dette, må noen ha enten ekstern eller fysisk tilgang til PC-en din. Og med det tilgangsnivået er spørsmål om tilbakestilling av passord den minste bekymringen.
Så sjansen er stor for at ingen av denne forskningen gjelder deg. Men selv om du bruker en lokal konto knyttet til et domene, kommer alt dette ned til et eldgammelt sett med spørsmål. Hvor mye bekvemmelighet bør du gi opp i sikkerhetens navn? Omvendt, hvor mye sikkerhet bør du gi fra deg i bekvemmelighetens navn?
I dette tilfellet er sjansene for at en dårlig aktør får tilgang til maskinen din og bruker sikkerhetsspørsmål for å få full kontroll utrolig liten. Og sjansene for å glemme passordet og trenge spørsmålene er litt større. Ta oversikt over situasjonen din, og gjør det beste valget for deg.