Onlangs is een groep van onderzoekers beschreven in een scenario waarin de terugwinning van het wachtwoord vragen werden gebruikt om in te breken in Windows 10 Stuks. Dit heeft geleid tot een aantal suggereren uitschakelen van de functie. Maar je hoeft niet om dit te doen als je een thuis computer van de gebruiker.
Dus, Wat is Hier aan de hand?
Als Ars Technica voor het eerst gemeld, Windows 10 heeft de mogelijkheid toegevoegd om de terugwinning van het wachtwoord vragen aan lokale accounts in het afgelopen jaar. Beveiliging onderzoekers zich verdiept in deze en ontdekte dat op een zakelijk netwerk zou dit kunnen leiden tot potentiële kwetsbaarheid.
Recht uit de vleermuis, kunt u ter plaatse twee belangrijke punten:
- Ten eerste, het hele scenario is gebaseerd op computers die lid zijn van een domein netwerk van de soort die je zou vinden op een zakelijk netwerk met beheerde computers.
- Ten tweede, de kwetsbaarheid geldt voor lokale accounts. Dat is met name interessant, omdat als uw computer deel uitmaakt van een domein, kunt u vrijwel zeker met behulp van een gecentraliseerde domein gebruikersaccount en niet een lokale account. En veiligheid vragen zijn niet toegestaan op het domein accounts standaard.
Er is ook een derde punt is het nog veel belangrijker. Dit alles vereist van de kwaadaardige acteur eerste te krijgen beheerder-toegang op het netwerk. Vanaf daar konden ze dan een machine identificeren op het netwerk aangesloten, die nog steeds lokale accounts en vervolgens op beveiliging toevoegen van vragen aan deze accounts.
Waarom?
Het idee is dat als admins ontdek en intrekken van de kwaadaardige acteur toegang, vervolgens het wijzigen van de wachtwoorden, de acteur zou, in theorie, op hun weg terug in het netwerk om deze machines en het gebruik van hun aangepaste vragen te resetten die wachtwoorden en weer volledige toegang.
De onderzoekers stellen ze kunnen ook gebruik maken van een hashing-tool voor het bepalen van de vorige wachtwoord, en herstel het oude wachtwoord te verbergen. Het probleem hier is dat de meeste domeinen netwerken staan niet toe dat hergebruikt wachtwoorden standaard.
Bij Ars Technica vroeg Microsoft voor de reactie, het antwoord was kort:
De beschreven techniek vereist een aanvaller in het bezit van de beheerder toegang
Terwijl dat lijkt misschien stompe ten eerste, wat Microsoft daarmee is het recht, en het brengt ons tot de echte kern van de zaak. Wanneer een kwaadaardig acteur heeft bestuurlijke niveau van toegang op een netwerk, is de kans op beschadiging en wegen van aanval veel verder gaan dan eenvoudige wachtwoord te resetten trucs. En als een netwerk is robuust genoeg is om te voorkomen dat de kwaadaardige acteur ooit het verkrijgen van administratieve-niveau, dit alles is hypothetisch.
Dus, in het einde, onze kwaadwillende zou moeten krijgen administrator-toegang tot een business netwerk dat gebruik maakt van een Windows-domein, vind computers dat zou kunnen hebben voor lokale accounts op hen, en dan het creëren van veiligheid vragen, zodat ze weer terug kunnen keren naar deze computers als ze worden ontdekt en geblokkeerd. En we moeten zorgen maakt over dat wanneer de beheerder-level toegang geeft hen de mogelijkheid om dat te doen veel meer kwaad al.
Het Kreeg. Ja, Komt Dit op Mij van Toepassing?
Als u een Windows-10 computer thuis, het korte antwoord is bijna zeker niet. En hier is waarom:
- Uw thuis-PC is waarschijnlijk geen lid van een domein.
- Zelfs als dat zo was, zou u via een lokaal account en de meeste mensen in Windows de 10 zijn waarschijnlijk via een Microsoft-account aan te melden. Dit is omdat Windows 10 vereist het gebruik van een Microsoft-Account voor veel functies correct werken. En ook al kun je een paar extra stappen voor het maken van een lokale account, Microsoft maakt het niet de meest voor de hand liggende keuze. Als u een Microsoft-Account, dan heb je ook de optie om een wachtwoord reset vragen.
- Om te profiteren van deze, zou iemand nodig hebt om op afstand of fysieke toegang tot uw PC. En met dat niveau van toegang, wachtwoord reset vragen zijn het minste van uw zorgen.
Zo is de kans erg hoog dat geen van deze onderzoek voor u van toepassing is. Maar zelfs als u via een lokaal account gekoppeld aan een domein, dit alles komt neer op een eeuwenoude set van vragen. Hoe veel gemak dient u op te geven in de naam van veiligheid? Omgekeerd, hoeveel veiligheid dient u in van de naam van het gemak?
In dit geval is de kans van een slechte acteur toegang krijgen tot uw machine en met behulp van de veiligheid vragen volledige controle te krijgen zijn ongelooflijk afstandsbediening. En de kans op het vergeten van uw wachtwoord en hoeven de vragen zijn een beetje hoger. Het inventariseren van uw situatie, en maak de beste keuze voor u.