Nylig beskrev en gruppe forskere et scenario der spørsmål om passordgjenoppretting ble brukt til å bryte inn i Windows 10-PCer. Dette har ført til at noen antyder at du deaktiverer funksjonen. Men du trenger ikke å gjøre dette hvis du bruker hjemmecomputer.
Så, hva skjer her?
Som Ars Technica først rapportert, har Windows 10 lagt til muligheten til å stille spørsmål om passordgjenoppretting på lokale kontoer det siste året. Sikkerhetsforskere fordypet seg i dette og oppdaget at dette på et bedriftsnettverk kan føre til potensiell sårbarhet.
Rett utenfor balltre kan du oppdage to viktige punkter der:
- For det første er hele scenariet avhengig av datamaskiner som er koblet til et domenenettverk - den typen du finner på et bedriftsnettverk med administrerte datamaskiner.
- For det andre gjelder sårbarheten lokale kontoer. Det er spesielt interessant fordi hvis PC-en din er en del av et domene, bruker du nesten helt sikkert en sentralisert domenebrukerkonto og ikke en lokal konto. Og sikkerhetsspørsmål er ikke tillatt på domenekontoer som standard.
Det er også et tredje punkt som er enda viktigere. Alt dette krever at den ondsinnede aktøren først får tilgang på administratornivå i nettverket. Derfra kunne de deretter identifisere maskiner som er koblet til nettverket som fremdeles har lokale kontoer, og deretter legge til sikkerhetsspørsmål til disse kontoene.
Hvorfor bry seg?
Tanken er at hvis administratorer oppdager og tilbakekaller den ondsinnede aktørens tilgang, og deretter endrer alle passordene, kan skuespilleren i teorien komme tilbake til nettverket til disse maskinene og bruke sine egendefinerte spørsmål for å tilbakestille disse passordene og gjenvinne full tilgang .
Forskerne foreslo at de også kunne bruke et hashingverktøy for å bestemme det forrige passordet, og deretter gjenopprette det gamle passordet for å skjule tilgangen. Problemet her er at de fleste domenenettverk ikke tillater gjenbrukte passord som standard.
Da Ars Technica ba Microsoft om kommentar, var svaret kort:
Den beskrevne teknikken krever at en angriper allerede har administratoradgang
Selv om det i utgangspunktet kan virke stump, er det Microsoft antyder riktig, og det bringer oss til den virkelige kjernen i saken. Når en ondsinnet aktør har administratortilgang på et nettverk, går potensiell skade og muligheter for angrep langt utover enkle triks for tilbakestilling av passord. Og hvis et nettverk er robust nok til å forhindre at den ondsinnede aktøren noen gang får administrativt nivå, så er alt dette tøff.
Så til slutt vil vår ondsinnede angriper trenge å få tilgang på administratornivå til et virksomhetsnettverk som bruker et Windows-domene, finne datamaskiner som kan ha lokale kontoer, og deretter opprette sikkerhetsspørsmål slik at de kan komme tilbake til disse datamaskiner hvis de blir oppdaget og låst ut. Og vi skal være bekymret for det når deres administratortilgang gir dem muligheten til å gjøre så mye mer skade allerede.
Har det. Så gjelder dette meg?
Hvis du bruker en Windows 10-datamaskin hjemme, er det korte svaret nesten ikke sikkert. Og her er hvorfor:
- Hjemme-PC-en din er sannsynligvis ikke koblet til et domene.
- Selv om det var det, måtte du bruke en lokal konto, og de fleste på Windows 10 bruker sannsynligvis en Microsoft-konto for å logge på. Dette er fordi Windows 10 krever at du bruker en Microsoft-konto for mange funksjoner for å fungerer riktig . Og mens du kan ta noen ekstra trinn for å lage en lokal konto i stedet gjør Microsoft det ikke til det mest åpenbare valget. Hvis du bruker en Microsoft-konto, har du ikke muligheten til å bruke spørsmål om tilbakestilling av passord.
- For å dra nytte av dette, må noen ha enten ekstern eller fysisk tilgang til PCen din. Og med det tilgangsnivået, er spørsmål om tilbakestilling av passord det minste av dine bekymringer.
Så sjansene er veldig store for at ingen av denne undersøkelsen gjelder deg. Men selv om du bruker en lokal konto som er tilknyttet et domene, kommer alt dette til et eldgamle spørsmålssett. Hvor mye bekvemmelighet bør du gi opp i sikkerhetens navn? Motsatt, hvor mye sikkerhet bør du gi opp i bekvemmelighetens navn?
I dette tilfellet er sjansen for at en dårlig aktør får tilgang til maskinen din og bruker sikkerhetsspørsmål for å få full kontroll, utrolig liten. Og sjansene for å glemme passordet ditt og trenger spørsmålene er litt høyere. Gjør status over situasjonen din, og ta det beste valget for deg.
