Nej, Du Behöver inte Stänga av Återställning av Lösenord Frågor på Windows-10

0
429

Nyligen har en grupp forskare beskrivs ett scenario där password recovery frågor användes för att bryta sig in i Windows 10 St. Detta har lett till att en del tyder på att inaktivera funktionen. Men du behöver inte göra detta om du är en hem datoranvändare.

Så, Vad är det som Händer Här?

Enligt Ars Technica som först redovisades, Windows 10 har lagt till möjligheten att ställa in för återställning av lösenord frågor om lokala konton under det senaste året. Säkerhet forskare som fördjupat sig i detta och upptäckte att på ett affärsnätverk detta kan leda till utsatthet.

Rätt utanför bat, du kan se två viktiga punkter:

  • För det första, hela scenariot bygger på datorer anslutna till en domän nätverk—den typ som du skulle hitta på ett affärsnätverk med hanterade datorer.
  • För det andra, sårbarheten gäller för lokala konton. Det är särskilt intressant eftersom om din DATOR ingår i en domän, är det nästan säkert med hjälp av en centraliserad domänens användarkonto och inte ett lokalt konto. Frågor och säkerhetsfrågor är inte tillåtna på domänkonton som standard.

Det finns också en tredje sak som är ännu mer viktigt. Allt detta kräver skadlig skådespelare första att få administratör-nivå kommer åt på nätverket. Från det, som de sedan kunde identifiera maskiner som är anslutna till nätverket som fortfarande har lokala konton och sedan lägga till frågor om säkerhet till dessa konton.

Varför bry sig?

Tanken är att om admins upptäcka och återkalla den skadliga skådespelare tillgång, därefter ändra alla lösenord, skådespelaren skulle, i teorin, gör sin väg tillbaka in i nätet för att dessa maskiner och använda sina egna frågor för att återställa dessa lösenord och få full åtkomst.

Forskarna föreslog att de skulle också kunna använda en hash-verktyg för att bestämma den tidigare lösenord, och sedan återställa det gamla lösenordet för att dölja sin tillgång. De problem här är att de flesta domäner nätverk tillåter inte återanvända lösenord som standard.

När Ars Technica har bett Microsoft för en kommentar, svaret var kort:

Den beskrivna tekniken kräver en angripare att redan ha administratörsåtkomst

Även om det kan verka dumt på första, vad Microsoft antyder är rätt, och det leder oss till den verkliga kärnfrågan. När en skadlig skådespelare har administrativa nivå tillgång till ett nätverk, den potentiella skadan och vägar för attack går långt utöver en enkel återställning av lösenord tricks. Och om ett nätverk är tillräckligt robust för att förhindra skadlig aktör från att någonsin få administrativa nivå, då allt detta är omtvistad.

Så, i slutet, vår angripare skulle behöva för att få administratör-nivå tillgång till ett nätverk som använder en Windows-domän, hitta datorer som kan ha lokala konton på dem, och sedan skapa frågor om säkerhet, så att de kunde komma tillbaka till dessa datorer om de upptäcks och låst ut. Och vi är tänkt för att vara orolig för att när deras administratörsnivå tillgång ger dem möjlighet att göra så mycket mer skada redan.

Fick Det. Så, Gäller Detta för Mig?

Om du använder en Windows-10 dator hemma, det korta svaret är nästan säkert inte. Och här är varför:

  • Din hem-PC är mest sannolikt inte är ansluten till en domän.
  • Även om det var, skulle du vara tvungen att använda ett lokalt konto och de flesta människor på Windows-10 är förmodligen att använda ett Microsoft-konto för att logga in. Detta beror på att Windows-10 krävs att du använder ett Microsoft-Konto för att många funktioner ska fungera korrekt. Och även om du kan ta ett par extra steg för att skapa ett lokalt konto istället, Microsoft gör det inte det mest självklara valet. Om du använder ett Microsoft-Konto, då du inte har möjlighet att använda återställning av lösenord frågor.
  • För att dra fördel av detta, skulle någon måste ha antingen fjärrkontrollen eller fysisk tillgång till din DATOR. Och med denna nivå av tillgång, återställning av lösenord frågor är det minsta av dina bekymmer.

Så är chansen mycket hög att ingen av denna forskning gäller dig. Men även om du använder ett lokalt konto är ansluten till en domän, allt detta kommer ner till en gammal uppsättning av frågor. Hur mycket bekvämlighet bör du ge upp i säkerhetens namn? Omvänt, hur mycket säkerhet bör du ge upp i namn av bekvämlighet?

I detta fall, risken för en dålig skådespelare att komma åt din maskin och med hjälp av frågor om säkerhet för att få full kontroll är oerhört avlägsen. Och risken för att glömma ditt lösenord och behöver de frågor som är lite högre. Ta lager av din situation, och att göra det bästa valet för dig.