Vor kurzem eine Gruppe von Forschern beschrieben ein Szenario, worin Passwort-recovery-Fragen wurden verwendet, um brechen in der Windows-10-PCs. Dies führte zu einigen darauf hindeutet, deaktivieren Sie die Funktion. Aber Sie brauchen nicht, dies zu tun, wenn Sie einen computer zu Hause Benutzer.
Also, Was ist Hier Los?
Wie Ars Technica berichtete zunächst, Windows 10 wurde Hinzugefügt die option, um das Passwort-recovery-Fragen, auf die lokalen Konten im vergangenen Jahr. Sicherheits-Forscher vertieft sich in diese und entdeckt, dass auf einem business-Netzwerk könnte dies dazu führen, dass potenzielle Schwachstelle.
Rechts von der Fledermaus, können Sie vor Ort zwei wichtige Punkte gibt:
- Zuerst wird das ganze Szenario beruht auf der Computer Mitglied einer Domäne-Netzwerk—die Art, die Sie finden würde, auf einem business-Netzwerk mit verwalteten Computern.
- Zweitens, die Sicherheitsanfälligkeit gilt für lokale Konten. Das ist besonders interessant, weil wenn Ihr PC Teil einer Domäne ist, sind Sie fast sicher mit einer zentralen Domänen-Benutzerkonto und nicht mit einem lokalen Konto. Und security-Fragen sind nicht erlaubt, domain-Konten standardmäßig.
Es gibt auch einen Dritten Punkt, der noch wichtiger ist. All dies erfordert die schädliche Schauspieler, der zunächst zu gewinnen administrator-level-Zugriff auf das Netzwerk. Von dort konnten Sie dann erkennen die angeschlossenen Rechner, die noch mit lokalen Konten und dann auf Sicherheit hinzufügen von Fragen zu diesen Konten.
Warum die Mühe?
Die Idee ist, dass, wenn admins zu entdecken und zu widerrufen, die schädliche Schauspieler Zugriff, anschließend ändern Sie alle Passwörter, die Schauspieler könnte in der Theorie, machen Ihren Weg zurück in das Netzwerk zu diesen Maschinen, und verwenden Sie Ihre eigenen Fragen zum zurücksetzen die Passwörter und so wieder vollen Zugriff.
Die Forscher vorgeschlagen, Sie könnte auch die Verwendung eines Hash-tool, um festzustellen, das Vorherige Kennwort, und dann wieder das alte Passwort zu verstecken auf. Das Problem ist, dass die meisten Domänen-Netzwerke nicht ermöglichen wiederverwendet Passwörter standardmäßig aktiviert.
Bei Ars Technica fragte Microsoft für einen Kommentar, die Antwort war kurz:
Die beschriebene Technik muss ein Angreifer bereits über administrator-Zugriff
Während das mag stumpf auf den ersten, was Microsoft zu implizieren, ist richtig, und es bringt uns zum wirklichen Kern der Sache. Sobald eine schädliche Schauspieler hat administrativen Zugriff auf ein Netzwerk, das für mögliche Schäden und Möglichkeiten des Angriffs gehen weit über die einfache Passwort-reset-tricks. Und wenn ein Netzwerk ist robust genug, um zu verhindern, dass der bösartige Schauspieler jemals gewinnen Verwaltungs-Ebene, dann ist dies alles irrelevant.
Also, am Ende, unsere Angreifer hätte gewinnen müssen administrator-level-Zugriff auf business-Netzwerk mit einer Windows-Domäne sind, finden Computer, die möglicherweise lokale Konten, und erstellen Sie dann Fragen der Sicherheit, so dass Sie könnte wieder in diese Computer, wenn Sie entdeckt und gesperrt. Und wir sollen besorgt sein, dass Ihr administrator-level-Zugriff gibt Ihnen die Fähigkeit zu tun, viel mehr Schaden schon.
Es Bekam. Also, Funktioniert Das bei Mir?
Wenn Sie mit einem Windows 10 Rechner zu Hause haben, die kurze Antwort ist fast sicher nicht. Und hier ist warum:
- Ihr Heim-PC ist den meisten wahrscheinlich nicht Mitglied einer Domäne ist.
- Selbst wenn es so wäre, müssten Sie sich mit einem lokalen Konto und die meisten Leute auf Windows 10 werden wohl mit einem Microsoft-Konto anmelden. Dies ist, weil Windows 10 erfordert die Verwendung eines Microsoft-Kontos für viele Funktionen, um korrekt zu arbeiten. Und während Sie können, nehmen Sie ein paar zusätzliche Schritte zum erstellen Sie ein lokales Konto statt Microsoft, macht es nicht die offensichtlichste Wahl. Wenn Sie mit einem Microsoft-Konto, dann müssen Sie nicht die Möglichkeit haben, den Passwort-reset Fragen.
- Um dies zu nutzen, würde jemand brauchen, um entweder remote oder physischen Zugriff auf Ihren PC. Und mit dieser Ebene des Zugriffs, Passwort-reset Fragen sind die am wenigsten Ihrer sorgen.
Also, sind die Chancen sehr hoch, dass keiner dieser Forschung bezieht sich auf Sie. Aber selbst wenn Sie mit einem lokalen Konto Mitglied einer Domäne ist, all dies kommt zu einem uralten Satz von Fragen. Wie viel Komfort sollten Sie verzichten im Namen der Sicherheit? Umgekehrt, wie viel Sicherheit sollten Sie verzichten im Namen der Bequemlichkeit?
In diesem Fall, die Chancen für einen schlechten Schauspieler, der Zugriff auf Ihren Rechner und Fragen der Sicherheit für die volle Kontrolle sind unglaublich Fernbedienung. Und die Chancen, Ihr Passwort vergessen und benötigen, die Fragen sind ein wenig höher. Nehmen Sie eine Bestandsaufnahme Ihrer situation und machen die beste Wahl für Sie.