Recentemente un gruppo di ricercatori descritto uno scenario in cui il recupero della password domande sono stati utilizzati per rompere Windows 10 Pz. Questo ha portato ad alcuni suggeriscono disattivando la funzione. Ma non c’è bisogno di fare questo se sei un utente di computer di casa.
Così, che Cosa sta succedendo Qui?
Come Ars Technica in primo luogo segnalato, Windows 10 è aggiunta l’opzione per impostare la password di ripristino di domande su account locali nel corso dell’anno passato. I ricercatori di sicurezza approfondito questo e ha scoperto che una rete di imprese questo potrebbe portare a potenziali vulnerabilità.
Destra fuori del blocco, è possibile individuare due punti importanti:
- Primo, l’intero scenario si basa sul computer a un dominio di rete—il tipo che si aspetterebbe di trovare in una rete aziendale con i computer gestiti.
- Secondo, la vulnerabilità vale per gli account locali. Particolarmente interessante, perché se il tuo PC fa parte di un dominio, si sta quasi certamente, utilizzando una centralizzato account utente di dominio e non un account locale. E le domande di sicurezza non sono ammessi gli account di dominio per impostazione predefinita.
C’è anche un terzo punto, che è ancora più importante. Tutto questo richiede dannoso attore prima di ottenere accesso a livello di amministratore della rete. Da lì, si potrebbe quindi identificare le macchine collegate alla rete che ancora dispongono di account locale e quindi aggiungere domande di sicurezza per gli account.
Perché preoccuparsi?
L’idea è che se gli amministratori di scoprire e di revocare il dannoso attore di accesso, successivamente a cambiare tutte le password, l’attore potrebbe, in teoria, fare il loro ingresso nella rete di queste macchine e di utilizzare le loro domande personalizzate per reimpostare le password e di riacquistare un accesso completo.
I ricercatori hanno suggerito che si potrebbe anche utilizzare un hash strumento per determinare la password precedente, e quindi ripristinare la vecchia password per nascondere il loro accesso. Qui la difficoltà è che la maggior parte dei domini reti non permettono di riutilizzare le password di default.
Quando Ars Technica ha chiesto di Microsoft per il commento, la risposta è stata breve:
La tecnica descritta richiede un attaccante già in possesso di un accesso di amministratore
Anche se potrebbe sembrare ottuso in un primo momento, ciò che Microsoft è implicando è giusto, e ci porta al vero nocciolo della questione. Una volta dannoso attore ha accesso a livello amministrativo in rete, i potenziali danni e rischi di attacco vanno ben oltre la semplice password reset trucchi. E se una rete è abbastanza robusto per evitare il dannoso attore mai guadagnare a livello amministrativo, quindi tutto questo è opinabile.
Così, alla fine, il nostro utente malintenzionato avrebbe bisogno di ottenere accesso a livello di amministratore di una rete aziendale che utilizza un dominio di Windows, trovare un computer che non dispongono di account locale su di loro, e quindi creare le domande di sicurezza, in modo che si potrebbe ottenere indietro in quei computer se scoperto e bloccato. E dovremmo essere preoccupati che quando il loro accesso a livello di amministratore dà loro la possibilità di fare molto più danno già.
Capito. Così, Questo vale anche per Me?
Se si utilizza un Windows 10 computer a casa, la risposta breve è quasi certamente non. Ed ecco perché:
- Il PC di casa è più probabile che non fa parte di un dominio.
- Anche se fosse, è necessario utilizzare un account locale e la maggior parte delle persone su Windows 10 sono probabilmente utilizzando un account Microsoft per accedere. Questo perché Windows 10, è necessario utilizzare un Account Microsoft per molte caratteristiche per funzionare correttamente. E mentre si può prendere un paio di passaggi aggiuntivi per creare un account locale, invece, Microsoft non è la scelta più ovvia. Se si utilizza un Account di Microsoft, quindi non hanno la possibilità di utilizzare password reset domande.
- Per approfittare di questo, qualcuno avrebbe bisogno di avere remoti o accesso fisico al PC. E con che livello di accesso, password reset domande sono l’ultima delle preoccupazioni.
Così, le probabilità sono molto alte che nessuno di questa ricerca si applica a voi. Ma anche se si utilizza un account locale fa parte di un dominio, tutto questo si riduce ad una vecchia serie di domande. Quanto convenienza si deve rinunciare in nome della sicurezza? Al contrario, quanta sicurezza si deve rinunciare in nome della convenienza?
In questo caso, le probabilità di un cattivo attore accedere al computer e l’utilizzo di domande di sicurezza per ottenere il pieno controllo sono incredibilmente remoto. E la possibilità di dimenticare la password e la necessità che le domande sono un po ‘ più alto. Fare il punto della situazione, e fare la scelta migliore per voi.