Recentemente un gruppo di ricercatori ha descritto uno scenario in cui le domande di recupero della password venivano utilizzate per entrare nei PC Windows 10. Ciò ha portato alcuni a suggerire di disabilitare la funzione. Ma non è necessario farlo se sei un utente di computer di casa.
Allora, cosa sta succedendo qui?
Come Ars Technica segnalato per la prima volta, Windows 10 ha aggiunto l'opzione per impostare domande di recupero della password sugli account locali nell'ultimo anno. I ricercatori di sicurezza hanno approfondito questo aspetto e hanno scoperto che su una rete aziendale questo potrebbe portare a una potenziale vulnerabilità.
Fin dall'inizio, puoi individuare due punti importanti qui:
- Innanzitutto, l'intero scenario si basa su computer collegati a una rete di dominio, il tipo che troveresti su una rete aziendale con computer gestiti.
- In secondo luogo, la vulnerabilità si applica agli account locali. Ciò è particolarmente interessante perché se il tuo PC fa parte di un dominio, quasi certamente stai utilizzando un account utente di dominio centralizzato e non un account locale. E le domande di sicurezza non sono consentite sugli account di dominio per impostazione predefinita.
C'è anche un terzo punto che è ancora più importante. Tutto ciò richiede prima che l'attore malintenzionato ottenga l'accesso a livello di amministratore sulla rete. Da lì, potrebbero quindi identificare le macchine connesse alla rete che hanno ancora account locali e quindi aggiungere domande di sicurezza a tali account.
Perché preoccuparsi?
L'idea è che se gli amministratori scoprono e revocano l'accesso del malintenzionato, modificando successivamente tutte le password, l'attore potrebbe, in teoria, rientrare nella rete verso queste macchine e utilizzare le loro domande personalizzate per reimpostare quelle password e riottenere l'accesso completo .
I ricercatori hanno suggerito che potrebbero anche utilizzare uno strumento di hashing per determinare la password precedente, quindi ripristinare la vecchia password per nascondere il loro accesso. Il problema qui è che la maggior parte delle reti di domini non consente il riutilizzo delle password per impostazione predefinita.
Quando Ars Technica ha chiesto a Microsoft un commento, la risposta è stata breve:
La tecnica descritta richiede che un utente malintenzionato possieda già l'accesso come amministratore
Anche se all'inizio potrebbe sembrare ottuso, ciò che Microsoft sta insinuando è giusto e ci porta al vero nocciolo della questione. Una volta che un malintenzionato ha accesso a livello amministrativo su una rete, i potenziali danni e le vie di attacco vanno ben oltre i semplici trucchi per reimpostare la password. E se una rete è abbastanza robusta da impedire al malintenzionato di acquisire un livello amministrativo, tutto questo è discutibile.
Quindi, alla fine, il nostro malintenzionato avrebbe bisogno di ottenere l'accesso a livello di amministratore a una rete aziendale che utilizza un dominio Windows, trovare computer che potrebbero avere account locali e quindi creare domande di sicurezza in modo che possano rientrare in quelli computer se vengono rilevati e bloccati. E dovremmo essere preoccupati per questo quando il loro accesso a livello di amministratore dà loro la possibilità di fare già molti più danni.
Fatto. Quindi, questo vale per me?
Se stai utilizzando un computer Windows 10 a casa, la risposta breve è quasi certamente no. Ed ecco perché:
- Molto probabilmente il tuo PC di casa non è associato a un dominio.
- Anche se lo fosse, dovresti utilizzare un account locale e la maggior parte delle persone su Windows 10 probabilmente utilizza un account Microsoft per accedere. Questo perché Windows 10 richiede l'utilizzo di un account Microsoft per molte funzionalità funziona correttamente . E sebbene tu possa fare alcuni passaggi aggiuntivi per creare un file account locale invece, Microsoft non la rende la scelta più ovvia. Se utilizzi un account Microsoft, non hai la possibilità di utilizzare le domande per la reimpostazione della password.
- Per trarne vantaggio, qualcuno dovrebbe avere accesso remoto o fisico al tuo PC. E con quel livello di accesso, le domande per la reimpostazione della password sono l'ultima delle tue preoccupazioni.
Quindi, è molto probabile che nessuna di queste ricerche si applichi a te. Ma anche se stai usando un account locale unito a un dominio, tutto questo si riduce a una vecchia serie di domande. Quanta convenienza dovresti rinunciare in nome della sicurezza? Al contrario, quanta sicurezza dovresti rinunciare in nome della convenienza?
In questo caso, le possibilità che un cattivo attore acceda alla tua macchina e utilizzi le domande di sicurezza per ottenere il pieno controllo sono incredibilmente remote. E le possibilità di dimenticare la password e di aver bisogno delle domande sono un po 'più alte. Fai il punto della tua situazione e fai la scelta migliore per te.
