Όχι, δεν χρειάζεται να απενεργοποιήσετε τις ερωτήσεις ανάκτησης κωδικού πρόσβασης στα Windows 10
Πρόσφατα, μια ομάδα ερευνητών περιέγραψε ένα σενάριο όπου χρησιμοποιήθηκαν ερωτήσεις αποκατάστασης κωδικού πρόσβασης για να σπάσουν τους υπολογιστές Windows 10. Αυτό έχει οδηγήσει σε κάποιους που υποδηλώνουν την απενεργοποίηση της λειτουργίας. Αλλά δεν χρειάζεται να το κάνετε αυτό αν είστε χρήστης οικιακού υπολογιστή.
Έτσι, τι συμβαίνει εδώ?
Όπως αναφέρθηκε για πρώτη φορά από την Ars Technica, τα Windows 10 πρόσθεσαν την επιλογή να θέσουν ερωτήσεις αποκατάστασης κωδικού πρόσβασης σε τοπικούς λογαριασμούς κατά το παρελθόν έτος. Οι ερευνητές στον τομέα της ασφάλειας συνέχισαν την έρευνα και ανακάλυψαν ότι σε ένα επιχειρηματικό δίκτυο αυτό θα μπορούσε να οδηγήσει σε πιθανή ευπάθεια.
Ακριβώς από το ρόπαλο, μπορείτε να εντοπίσετε δύο σημαντικά σημεία εκεί:
- Πρώτον, ολόκληρο το σενάριο βασίζεται σε υπολογιστές συνδεδεμένους σε ένα δίκτυο τομέα - το είδος που θα βρείτε σε ένα επιχειρηματικό δίκτυο με διαχειριζόμενους υπολογιστές.
- Δεύτερον, η ευπάθεια ισχύει για τους τοπικούς λογαριασμούς. Αυτό είναι ιδιαίτερα ενδιαφέρον, επειδή αν ο υπολογιστής σας είναι μέρος ενός τομέα, σχεδόν σίγουρα χρησιμοποιείτε έναν κεντρικό λογαριασμό χρήστη τομέα και όχι έναν τοπικό λογαριασμό. Και οι ερωτήσεις ασφαλείας δεν επιτρέπονται στους λογαριασμούς τομέα από προεπιλογή.
Υπάρχει επίσης ένα τρίτο σημείο που είναι ακόμη σημαντικότερο. Όλα αυτά απαιτούν από τον κακόβουλο ηθοποιό να αποκτήσει πρώτα πρόσβαση σε επίπεδο διαχειριστή στο δίκτυο. Από εκεί, θα μπορούσαν στη συνέχεια να αναγνωρίσουν τα μηχανήματα που είναι συνδεδεμένα στο δίκτυο και εξακολουθούν να διαθέτουν τοπικούς λογαριασμούς και στη συνέχεια να προσθέτουν ερωτήσεις ασφαλείας στους λογαριασμούς αυτούς.
Γιατί να ασχοληθούμε?
Η ιδέα είναι ότι αν οι διαχειριστές ανακαλύψουν και ανακαλέσουν την πρόσβαση του κακόβουλου ηθοποιού και στη συνέχεια αλλάξουν όλους τους κωδικούς πρόσβασης, ο ηθοποιός θα μπορούσε θεωρητικά να επιστρέψει στο δίκτυο σε αυτά τα μηχανήματα και να χρησιμοποιήσει τις προσαρμοσμένες ερωτήσεις για να επαναφέρει τους κωδικούς πρόσβασης και να ανακτήσει την πλήρη πρόσβαση.
Οι ερευνητές πρότειναν να χρησιμοποιήσουν επίσης ένα εργαλείο αντιστοίχισης για τον προσδιορισμό του προηγούμενου κωδικού πρόσβασης και, στη συνέχεια, να επαναφέρουν τον παλιό κωδικό πρόσβασης για να αποκρύψουν την πρόσβασή τους. Το πρόβλημα είναι ότι τα περισσότερα δίκτυα τομέων δεν επιτρέπουν την επαναχρησιμοποίηση κωδικών πρόσβασης από προεπιλογή.
Όταν η Ars Technica ζήτησε από την Microsoft να σχολιάσει, η απάντηση ήταν σύντομη:
Η περιγραφόμενη τεχνική απαιτεί από έναν εισβολέα να έχει ήδη πρόσβαση διαχειριστή
Παρόλο που στην αρχή μπορεί να φαίνεται αβάσιμο, αυτό που υπονοεί η Microsoft είναι σωστό και μας φέρνει στην πραγματική ουσία του θέματος. Μόλις ένας κακόβουλος ηθοποιός έχει διοικητική πρόσβαση σε ένα δίκτυο, η πιθανή βλάβη και οι τρόποι επίθεσης ξεπερνούν πολύ τα απλά τεχνάσματα επαναφοράς κωδικού πρόσβασης. Και αν ένα δίκτυο είναι αρκετά ισχυρό για να αποτρέψει το κακόβουλο ηθοποιό να αποκτήσει ποτέ διοικητικό επίπεδο, τότε όλα αυτά είναι αμφίβολο.
Έτσι, τελικά, ο κακόβουλος επιτιθέμενος θα πρέπει να αποκτήσει πρόσβαση σε επίπεδο διαχειριστή σε ένα επιχειρηματικό δίκτυο που χρησιμοποιεί έναν τομέα των Windows, να βρει υπολογιστές που ενδέχεται να έχουν τοπικούς λογαριασμούς σε αυτά και στη συνέχεια να δημιουργήσει ερωτήματα ασφαλείας, ώστε να μπορούν να επανέλθουν σε αυτά υπολογιστές αν εντοπιστούν και κλειδωθούν. Και πρέπει να ανησυχούμε γι 'αυτό όταν η πρόσβαση σε επίπεδο διαχειριστή τους δίνει τη δυνατότητα να κάνουν τόσα περισσότερα ζημιά ήδη.
Το κατάλαβα. Έτσι, αυτό ισχύει για μένα?
Αν χρησιμοποιείτε υπολογιστή Windows 10 στο σπίτι, η σύντομη απάντηση είναι σχεδόν βέβαιο ότι δεν είναι. Και εδώ γιατί:
- Ο οικιακός σας υπολογιστής πιθανότατα δεν είναι συνδεδεμένος σε έναν τομέα.
- Ακόμα κι αν αυτό συμβαίνει, θα πρέπει να χρησιμοποιείτε έναν τοπικό λογαριασμό και τα περισσότερα άτομα στα Windows 10 πιθανώς χρησιμοποιούν έναν λογαριασμό Microsoft για να συνδεθούν. Αυτό συμβαίνει επειδή τα Windows 10 απαιτούν τη χρήση ενός Λογαριασμού της Microsoft για να λειτουργούν σωστά πολλές λειτουργίες. Και ενώ μπορείτε να πάρετε μερικά επιπλέον βήματα για να δημιουργήσετε έναν τοπικό λογαριασμό αντ 'αυτού, η Microsoft δεν κάνει την πιο προφανή επιλογή. Εάν χρησιμοποιείτε έναν λογαριασμό Microsoft, τότε δεν έχετε τη δυνατότητα να χρησιμοποιήσετε ερωτήσεις επαναφοράς κωδικού πρόσβασης.
- Για να επωφεληθείτε από αυτό, κάποιος θα πρέπει να έχει είτε απομακρυσμένη είτε φυσική πρόσβαση στον υπολογιστή σας. Και με αυτό το επίπεδο πρόσβασης, οι ερωτήσεις επαναφοράς κωδικού πρόσβασης είναι οι ελάχιστες ανησυχίες σας.
Έτσι, οι πιθανότητες είναι πολύ υψηλές ώστε καμία από αυτές τις έρευνες δεν ισχύει για εσάς. Αλλά ακόμα κι αν χρησιμοποιείτε έναν τοπικό λογαριασμό συνδεδεμένο σε έναν τομέα, όλα αυτά καταλήγουν σε ένα παλιό σύνολο ερωτήσεων. Πόση ευκολία πρέπει να εγκαταλείψετε στο όνομα της ασφάλειας; Αντίθετα, πόση ασφάλεια θα πρέπει να εγκαταλείψετε στο όνομα της ευκολίας?
Σε αυτήν την περίπτωση, οι πιθανότητες ενός κακού ηθοποιού να έχει πρόσβαση στο μηχάνημά σας και να χρησιμοποιεί ερωτήματα ασφαλείας για να αποκτήσει τον πλήρη έλεγχο είναι απίστευτα απομακρυσμένες. Και οι πιθανότητες να ξεχάσετε τον κωδικό σας και να χρειαστείτε τις ερωτήσεις είναι λίγο υψηλότερες. Ανακεφαλαιώστε την κατάστασή σας και κάνετε την καλύτερη επιλογή για εσάς.