Nie, nemusíte zakázať otázky na obnovenie hesla v systéme Windows 10
Nedávno skupina výskumníkov opísala scenár, v ktorom sa otázky na obnovenie hesla použili na rozbitie počítačov Windows 10. To viedlo k niektorým naznačujúcim vypnutie funkcie. Ale nemusíte to robiť, ak ste používateľ domáceho počítača.
Takže, čo sa deje tu?
Ako spoločnosť Ars Technica poprvé uviedla, systém Windows 10 pridal v minulom roku možnosť nastaviť otázky týkajúce sa obnovenia hesla na lokálnych účtoch. Výskumní pracovníci v oblasti bezpečnosti sa na to pokúšali a zistili, že v podnikovej sieti by to mohlo viesť k potenciálnej zraniteľnosti.
Hneď za netopierom môžete vidieť dva dôležité body:
- Po prvé, celý scenár sa opiera o počítače pripojené k sieti domén, ktoré nájdete v podnikovej sieti s spravovanými počítačmi.
- Po druhé, zraniteľnosť sa týka miestnych účtov. To je obzvlášť zaujímavé, pretože ak je váš počítač súčasťou domény, takmer určite používate centralizovaný doménový používateľský účet a nie lokálny účet. Bezpečnostné otázky nie sú v predvolenom nastavení povolené na kontách domény.
Je tu aj tretí bod, ktorý je ešte dôležitejší. To všetko vyžaduje, aby malý hráč najskôr získal prístup na úrovni správcu v sieti. Odtiaľ by potom mohli identifikovať počítače pripojené k sieti, ktoré majú stále lokálne účty, a do týchto účtov potom pridať bezpečnostné otázky.
Načo sa obťažovať?
Myšlienka spočíva v tom, že ak administrátor objaví a odoberie prístup škodlivého herca a následne zmení všetky heslá, herca by sa teoreticky mohla vrátiť do siete k týmto strojom a použiť svoje vlastné otázky na obnovenie týchto hesiel a získanie úplného prístupu.
Výskumníci navrhli, aby mohli tiež použiť nástroj pre určenie predchádzajúceho hesla a potom obnoviť staré heslo, aby skryli prístup. Problémom je, že väčšina sietí domén neumožňuje štandardne použiť opätovne používané heslá.
Keď spoločnosť Ars Technica požiadala spoločnosť Microsoft o pripomienku, odpoveď bola krátka:
Popísaná technika vyžaduje, aby útočník už mal prístup správcu
Zatiaľ čo sa to na prvý pohľad zdá byť tupé, to, čo spoločnosť Microsoft naznačuje, je správne a prináša nás do skutočnej podstaty veci. Akonáhle je škodlivý hráč aktívny v administratívnej úrovni v sieti, potenciálne poškodenie a spôsoby útoku ďaleko presahujú jednoduché triky obnovenia hesla. A ak je sieť dostatočne robustná na to, aby zabraňovala zlomyseľnému hercovi, aby získal administratívnu úroveň,.
Takže nakoniec náš škodlivý útočník bude musieť získať prístup na úrovni administrátora do podnikovej siete, ktorá používa doménu Windows, nájsť počítače, na ktorých by mohli mať lokálne účty a potom vytvoriť bezpečnostné otázky, aby sa mohli vrátiť späť do týchto domén počítačov, ak sú objavené a uzamknuté. A máme sa s tým obávať, keď ich prístup na úrovni administrátora im dáva možnosť urobiť toľko škôd už.
Mám to. Takže to platí pre mňa?
Ak používate počítač doma Windows 10, krátka odpoveď je takmer určite nie. A tu je dôvod, prečo:
- Váš domáci počítač s najväčšou pravdepodobnosťou nie je pripojený k doméne.
- Aj keby to bolo, museli by ste používať lokálny účet a väčšina ľudí v systéme Windows 10 pravdepodobne používa účet Microsoft na prihlásenie. Je to preto, lebo Windows 10 vyžaduje použitie konta Microsoft, aby mnohé funkcie fungovali správne. A zatiaľ čo môžete urobiť niekoľko ďalších krokov na vytvorenie lokálneho účtu namiesto toho, Microsoft neznamená, že je najzrejmejšou voľbou. Ak používate účet Microsoft, nemáte možnosť používať otázky týkajúce sa obnovenia hesla.
- Ak chcete využiť toto, niekto by musel mať vzdialený alebo fyzický prístup k vášmu počítaču. A s touto úrovňou prístupu sú otázky týkajúce sa obnovenia hesla najmenšími vašimi starosťami.
Takže šance sú veľmi vysoké, že sa žiaden z týchto výskumov nevzťahuje na vás. Ale aj keď používate lokálny účet pripojený k doméne, všetko toto sa deje na vekovú skupinu otázok. Koľko pohodlia by ste mali vzdať v mene bezpečnosti? Naopak, koľko bezpečnosti by ste mali vzdať v mene pohodlia?
V takom prípade je šanca, že zlý herec pristupuje k vášmu počítaču a používa bezpečnostné otázky na získanie plnej kontroly, neuveriteľne vzdialený. A šanca zabudnúť na vaše heslo a potrebovať otázky sú o niečo vyššie. Zoznámte sa s vašou situáciou a urobte pre vás najlepšiu voľbu.