हाल ही में शोधकर्ताओं के एक समूह ने एक परिदृश्य का वर्णन किया जिसमें विंडोज 10 पीसी में पासवर्ड रिकवरी प्रश्न का उपयोग किया गया था। इसके कारण कुछ लोगों ने सुविधा को अक्षम करने का सुझाव दिया है। यदि आपको घर का कंप्यूटर उपयोगकर्ता नहीं है, तो आपको ऐसा करने की आवश्यकता नहीं है।
तो, यहाँ क्या हो रहा है?
जैसा आर्स टेक्नीका पहली रिपोर्ट, विंडोज 10 ने पिछले वर्ष में स्थानीय खातों पर पासवर्ड पुनर्प्राप्ति प्रश्नों को सेट करने का विकल्प जोड़ा है। सुरक्षा शोधकर्ताओं ने इस पर ध्यान दिया और पाया कि एक व्यावसायिक नेटवर्क पर यह संभावित भेद्यता हो सकती है।
बल्ले से ही सही, आप वहां दो महत्वपूर्ण बिंदु देख सकते हैं:
- सबसे पहले, संपूर्ण परिदृश्य कंप्यूटर पर निर्भर करता है जो एक डोमेन नेटवर्क में शामिल होता है - जिस तरह आप प्रबंधित कंप्यूटर के साथ व्यावसायिक नेटवर्क पर पाते हैं।
- दूसरा, भेद्यता स्थानीय खातों पर लागू होती है। यह विशेष रूप से दिलचस्प है क्योंकि यदि आपका पीसी एक डोमेन का हिस्सा है, तो आप लगभग निश्चित रूप से एक केंद्रीकृत डोमेन उपयोगकर्ता खाते का उपयोग कर रहे हैं न कि स्थानीय खाते का। और डिफ़ॉल्ट रूप से डोमेन खातों पर सुरक्षा प्रश्नों की अनुमति नहीं है।
एक तीसरा बिंदु भी है जो और भी महत्वपूर्ण है। नेटवर्क पर व्यवस्थापक-स्तरीय पहुंच प्राप्त करने के लिए सबसे पहले दुर्भावनापूर्ण अभिनेता की आवश्यकता होती है। वहां से, वे फिर नेटवर्क से जुड़ी मशीनों की पहचान कर सकते हैं जिनके पास अभी भी स्थानीय खाते हैं और फिर उन खातों में सुरक्षा प्रश्न जोड़ सकते हैं।
क्यों परेशान?
यह विचार यह है कि यदि दुर्भावनापूर्ण अभिनेता की पहुंच की खोज और उसे रोकना, बाद में सभी पासवर्डों को बदलना, अभिनेता सिद्धांत रूप में, इन मशीनों पर नेटवर्क में वापस आ सकता है और उन पासवर्डों को रीसेट करने और पूर्ण पहुंच प्राप्त करने के लिए अपने कस्टम प्रश्नों का उपयोग कर सकता है। ।
शोधकर्ताओं ने सुझाव दिया कि वे पिछले पासवर्ड को निर्धारित करने के लिए एक हैशिंग टूल का उपयोग कर सकते हैं, और फिर अपनी पहुंच को छिपाने के लिए पुराने पासवर्ड को पुनर्स्थापित कर सकते हैं। यहां परेशानी यह है कि अधिकांश डोमेन नेटवर्क डिफ़ॉल्ट रूप से पुन: उपयोग किए गए पासवर्ड की अनुमति नहीं देते हैं।
जब Ars Technica ने Microsoft से टिप्पणी मांगी, तो प्रतिक्रिया कम थी:
वर्णित तकनीक के लिए एक हमलावर की आवश्यकता होती है जो पहले से ही व्यवस्थापक पहुंच के पास है
जबकि यह पहली बार में अटपटा लग सकता है, जो Microsoft आसन्न है वह सही है, और यह हमें मामले के असली क्रुक्स में लाता है। एक बार एक दुर्भावनापूर्ण अभिनेता के पास नेटवर्क पर प्रशासनिक-स्तरीय पहुंच होती है, तो हमले के संभावित नुकसान और रास्ते सरल पासवर्ड रीसेट ट्रिक से बहुत आगे निकल जाते हैं। और अगर कोई नेटवर्क दुर्भावनापूर्ण अभिनेता को कभी भी प्रशासनिक स्तर हासिल करने से रोकने के लिए पर्याप्त मजबूत है, तो यह सब बहुत ही कम है।
इसलिए, अंत में, हमारे दुर्भावनापूर्ण हमलावर को एक व्यवसाय नेटवर्क के लिए व्यवस्थापक-स्तरीय पहुंच प्राप्त करने की आवश्यकता होगी जो एक विंडोज़ डोमेन का उपयोग करता है, उन कंप्यूटरों को ढूंढें जिनके उन पर स्थानीय खाते हो सकते हैं, और फिर सुरक्षा प्रश्न बना सकते हैं ताकि वे उन में वापस आ सकें। कंप्यूटर यदि वे खोजे गए और लॉक हो गए हैं। और हमें इस बारे में चिंतित होना चाहिए कि जब उनके व्यवस्थापक-स्तर की पहुँच उन्हें पहले से ही बहुत अधिक नुकसान करने की क्षमता देती है।
समझ गया। तो, क्या यह मेरे लिए लागू होता है?
यदि आप घर पर विंडोज 10 कंप्यूटर का उपयोग कर रहे हैं, तो संक्षिप्त उत्तर लगभग निश्चित रूप से नहीं है। और यहाँ क्यों है:
- आपका होम पीसी सबसे अधिक संभावना है कि एक डोमेन में शामिल नहीं हुआ है।
- यहां तक कि अगर यह था, तो आपको स्थानीय खाते का उपयोग करना होगा और विंडोज 10 पर अधिकांश लोग साइन इन करने के लिए संभवतः Microsoft खाते का उपयोग कर रहे हैं। ऐसा इसलिए है क्योंकि विंडोज 10 के लिए कई विशेषताओं के लिए Microsoft खाते का उपयोग करना आवश्यक है। सही ढंग से काम करो । और जब आप एक बनाने के लिए कुछ अतिरिक्त कदम उठा सकते हैं स्थानीय खाता इसके बजाय, Microsoft इसे सबसे स्पष्ट विकल्प नहीं बनाता है। यदि आप Microsoft खाते का उपयोग कर रहे हैं, तो आपके पास पासवर्ड रीसेट प्रश्नों का उपयोग करने का विकल्प नहीं है।
- इसका लाभ उठाने के लिए, किसी को आपके पीसी में रिमोट या भौतिक पहुंच की आवश्यकता होगी। और उस स्तर तक पहुंच के साथ, पासवर्ड रीसेट प्रश्न आपकी चिंताओं से कम से कम हैं।
तो, संभावना बहुत अधिक है कि इस शोध में से कोई भी आप पर लागू नहीं होता है। लेकिन भले ही आप किसी डोमेन में शामिल किसी स्थानीय खाते का उपयोग कर रहे हों, यह सब प्रश्नों के एक पुराने-पुराने सेट पर आता है। सुरक्षा के नाम पर आपको कितनी सुविधा देनी चाहिए? इसके विपरीत, सुविधा के नाम पर आपको कितनी सुरक्षा देनी चाहिए?
इस मामले में, एक बुरे अभिनेता के आपकी मशीन तक पहुँचने और पूर्ण नियंत्रण हासिल करने के लिए सुरक्षा प्रश्नों का उपयोग करने की संभावना अविश्वसनीय रूप से दूरस्थ है। और आपके पासवर्ड को भूल जाने और प्रश्नों की आवश्यकता की संभावना थोड़ी अधिक है। अपनी स्थिति का जायजा लें, और आपके लिए सबसे अच्छा विकल्प है।
