Główna » jak » Nie, nie musisz wyłączać pytań dotyczących odzyskiwania hasła w systemie Windows 10

    Nie, nie musisz wyłączać pytań dotyczących odzyskiwania hasła w systemie Windows 10

    Niedawno grupa badaczy opisała scenariusz, w którym pytania dotyczące odzyskiwania hasła zostały wykorzystane do włamania się na komputery z systemem Windows 10. Doprowadziło to do sugerowania wyłączenia tej funkcji. Ale nie musisz tego robić, jeśli jesteś użytkownikiem komputera domowego.

    Więc, co tu się dzieje?

    Jak pierwszy raport Ars Technica, system Windows 10 dodał opcję ustawiania pytań odzyskiwania hasła na kontach lokalnych w ubiegłym roku. Badacze bezpieczeństwa zgłębili to i odkryli, że w sieci biznesowej może to doprowadzić do potencjalnej luki w zabezpieczeniach.

    Od razu możesz zauważyć dwa ważne punkty:

    • Po pierwsze, cały scenariusz opiera się na komputerach dołączonych do sieci domenowej - takich, jakie można znaleźć w sieci biznesowej z zarządzanymi komputerami.
    • Po drugie, luka dotyczy kont lokalnych. Jest to szczególnie interesujące, ponieważ jeśli Twój komputer jest częścią domeny, prawie na pewno używasz scentralizowanego konta użytkownika domeny, a nie konta lokalnego. Pytania bezpieczeństwa nie są domyślnie dozwolone na kontach domeny.

    Jest jeszcze trzeci punkt, który jest jeszcze ważniejszy. Wszystko to wymaga od złośliwego aktora uzyskania dostępu na poziomie administratora w sieci. Stamtąd mogą następnie identyfikować maszyny podłączone do sieci, które nadal mają konta lokalne, a następnie dodawać pytania bezpieczeństwa do tych kont.

    Po co się męczyć?

    Chodzi o to, że jeśli administratorzy odkryją i odwołają dostęp złośliwego aktora, zmieniając następnie wszystkie hasła, aktor może, teoretycznie, powrócić do sieci na tych komputerach i użyć własnych pytań, aby zresetować te hasła i odzyskać pełny dostęp.

    Naukowcy zasugerowali, że mogą również użyć narzędzia haszującego do ustalenia poprzedniego hasła, a następnie przywrócić stare hasło, aby ukryć dostęp. Problem polega na tym, że większość sieci domen nie zezwala domyślnie na ponowne użycie haseł.

    Gdy Ars Technica poprosił Microsoft o komentarz, odpowiedź była krótka:

    Opisana technika wymaga, aby osoba atakująca miała już dostęp administratora

    Choć na pierwszy rzut oka może się to wydawać tępy, to co sugeruje Microsoft, jest słuszne i prowadzi nas do prawdziwego sedna sprawy. Gdy złośliwy aktor uzyska dostęp na poziomie administracyjnym w sieci, potencjalne uszkodzenia i możliwości ataku wykraczają daleko poza proste sztuczki resetowania hasła. A jeśli sieć jest na tyle silna, aby uniemożliwić złośliwemu aktorowi zdobycie poziomu administracyjnego, to wszystko jest dyskusyjne.

    Ostatecznie nasz złośliwy atakujący musiałby uzyskać dostęp na poziomie administratora do sieci firmowej, która używa domeny Windows, znaleźć komputery, które mogą mieć na nich konta lokalne, a następnie utworzyć pytania zabezpieczające, aby mogły wrócić do tych komputery, jeśli zostaną wykryte i zablokowane. I powinniśmy się martwić, gdy ich dostęp na poziomie administratora daje im możliwość wyrządzenia jeszcze więcej szkód.

    Rozumiem. Czy to dotyczy mnie??

    Jeśli używasz komputera z systemem Windows 10 w domu, krótka odpowiedź prawie na pewno nie jest. A oto dlaczego:

    • Twój domowy komputer najprawdopodobniej nie jest przyłączony do domeny.
    • Nawet gdyby tak było, musiałbyś używać konta lokalnego, a większość osób w systemie Windows 10 prawdopodobnie używa konta Microsoft do logowania. Jest tak, ponieważ system Windows 10 wymaga używania konta Microsoft, aby wiele funkcji działało poprawnie. I chociaż możesz zrobić kilka dodatkowych kroków, aby utworzyć konto lokalne, Microsoft nie czyni tego najbardziej oczywistym wyborem. Jeśli korzystasz z konta Microsoft, nie masz możliwości korzystania z pytań resetowania hasła.
    • Aby to wykorzystać, ktoś musiałby mieć zdalny lub fizyczny dostęp do twojego komputera. I przy takim poziomie dostępu pytania resetowania hasła są najmniej waszym zmartwieniem.

    Tak więc szanse są bardzo wysokie, że żadne z tych badań nie dotyczy ciebie. Ale nawet jeśli korzystasz z konta lokalnego dołączonego do domeny, wszystko sprowadza się do zestawu wiekowych pytań. Jaką wygodę powinniście zrezygnować w imię bezpieczeństwa? I odwrotnie, ile bezpieczeństwa należy zrezygnować w imię wygody?

    W tym przypadku szanse złego aktora na dostęp do twojej maszyny i korzystanie z pytań bezpieczeństwa w celu uzyskania pełnej kontroli są niesamowicie odległe. A szanse na zapomnienie hasła i potrzeby pytań są nieco wyższe. Zapoznaj się ze swoją sytuacją i dokonaj najlepszego wyboru.