A közelmúltban egy kutatócsoport leírta azt a forgatókönyvet, amelyben jelszó-helyreállítási kérdéseket alkalmaztak a Windows 10 PC-k betörésére. Ennek eredményeként néhányan azt javasolják, hogy tiltsák le a funkciót. De ezt nem kell megtennie, ha otthoni számítógépet használ.
Szóval, mi folyik itt?
Mint Ars Technica Először számolt be róla, hogy a Windows 10 az elmúlt évben hozzáadta a jelszó-helyreállítási kérdéseket a helyi fiókokhoz. A biztonsági kutatók elmélyültek ebben és felfedezték, hogy egy üzleti hálózaton ez potenciális sebezhetőséghez vezethet.
Közvetlenül két fontos pontot észlelhet ott:
- Először is, a teljes forgatókönyv egy tartományi hálózathoz csatlakozott számítógépekre támaszkodik - olyanra, amelyet egy felügyelt számítógépekkel rendelkező üzleti hálózaton talál.
- Másodszor, a biztonsági rés a helyi fiókokra vonatkozik. Ez különösen érdekes, mert ha a számítógép része egy domainnek, akkor szinte biztosan nem a helyi, hanem a központi domain felhasználói fiókot használja. A biztonsági kérdések pedig alapértelmezés szerint nem engedélyezettek a domain-fiókoknál.
Van egy harmadik pont is, ami még fontosabb. Mindehhez először a rosszindulatú szereplőre van szükség, hogy rendszergazdai szintű hozzáférést szerezzen a hálózaton. Innen aztán azonosíthatják a hálózathoz csatlakoztatott gépeket, amelyeknek még mindig vannak helyi fiókjaik, majd biztonsági kérdéseket fűzhetnek ezekhez a fiókokhoz.
Minek?
Az ötlet az, hogy ha az adminisztrátorok felfedezik és visszavonják a rosszindulatú színész hozzáférését, majd megváltoztatják az összes jelszót, akkor a színész elméletileg visszaléphet a hálózathoz ezekhez a gépekhez, és egyedi kérdéseikkel visszaállíthatja ezeket a jelszavakat és visszanyerheti a teljes hozzáférést. .
A kutatók azt javasolták, hogy hash-t is használhassanak az előző jelszó meghatározásához, majd a hozzáférésük elrejtése érdekében állítsák vissza a régi jelszót. A baj itt az, hogy a legtöbb domain hálózat alapértelmezés szerint nem engedélyezi az újrafelhasználott jelszavakat.
Amikor az Ars Technica észrevételt kért a Microsofttól, a válasz rövid volt:
A leírt technika megköveteli, hogy a támadó már rendelkezzen rendszergazdai hozzáféréssel
Noha ez eleinte tompának tűnhet, a Microsoft által sugalltnak igaza van, és ez a kérdés valódi lényegéhez vezet. Miután egy rosszindulatú szereplő adminisztratív szintű hozzáféréssel rendelkezik a hálózaton, a lehetséges károk és támadási lehetőségek messze túlmutatnak az egyszerű jelszó-visszaállító trükkökön. És ha egy hálózat elég robusztus ahhoz, hogy megakadályozza a rosszindulatú szereplőket abban, hogy valaha is adminisztratív szintet szerezzenek, akkor mindez vitatott.
Végül rosszindulatú támadónknak rendszergazdai szintű hozzáférést kell kapnia egy üzleti hálózathoz, amely Windows-tartományt használ, meg kell találnia azokat a számítógépeket, amelyeken lehetnek helyi fiókok, majd biztonsági kérdéseket kell létrehoznia, hogy azok vissza tudjanak érni számítógépeket, ha felfedezik és bezárják őket. És állítólag emiatt aggódnunk kell, amikor rendszergazdai szintű hozzáférésük lehetővé teszi számukra, hogy sokkal több kárt okozzanak már.
Megvan. Tehát ez vonatkozik rám?
Ha otthon használ Windows 10 számítógépet, akkor a rövid válasz szinte biztosan nem. És íme, miért:
- Az otthoni számítógép valószínűleg nem csatlakozik egy tartományhoz.
- Még ha lenne is, akkor helyi fiókot kell használnia, és a legtöbb Windows 10-es ember valószínűleg Microsoft-fiókot használ a bejelentkezéshez. Ez azért van, mert a Windows 10-hez számos szolgáltatáshoz Microsoft-fiókot kell használni megfelelően működjön . És bár néhány további lépést megtehet a helyi számla ehelyett a Microsoft nem a legkézenfekvőbb választást választja. Ha Microsoft-fiókot használ, akkor nincs lehetősége jelszó-visszaállítási kérdések használatára.
- Ennek kihasználásához valakinek távoli vagy fizikai hozzáféréssel kell rendelkeznie a számítógépéhez. Ennél a hozzáférési szintnél a jelszó-visszaállítási kérdések jelentik a legkevesebb aggodalmat.
Tehát nagyon nagy az esélye annak, hogy ez a kutatás egyik sem vonatkozik Önre. De még akkor is, ha egy domainhez csatlakozott helyi fiókot használ, mindez egy ősrégi kérdéssorhoz vezet. Mennyi kényelemről kell lemondania a biztonság jegyében? Ezzel szemben mennyi biztonságról kell lemondania a kényelem jegyében?
Ebben az esetben hihetetlenül kicsi az esélye annak, hogy egy rossz színész hozzáférjen a gépéhez, és biztonsági kérdéseket használjon a teljes irányítás megszerzéséhez. A jelszó elfelejtésének és a kérdések szükségességének esélye kissé nagyobb. Számolja fel helyzetét, és válassza ki a legjobb választást az Ön számára.
