Наскоро група изследователи описа сценарий, при който въпросите за възстановяване на парола са били използвани за проникване в компютри с Windows 10. Това доведе до някои предложения за деактивиране на функцията. Но не е необходимо да правите това, ако сте потребител на домашен компютър.
И така, какво става тук?
Като Арс Техника За първи път се съобщава, че Windows 10 е добавил опцията за задаване на въпроси за възстановяване на парола на локални акаунти през последната година. Изследователите по сигурността се задълбочиха в това и откриха, че в бизнес мрежа това може да доведе до потенциална уязвимост.
Веднага можете да забележите две важни точки там:
Първо, целият сценарий разчита на компютри, присъединени към мрежа на домейн – вида, който бихте намерили в бизнес мрежа с управлявани компютри.
Второ, уязвимостта се отнася за локални акаунти. Това е особено интересно, защото ако вашият компютър е част от домейн, вие почти сигурно използвате централизиран потребителски акаунт на домейн, а не локален акаунт. И въпросите за сигурност не са разрешени в акаунти на домейн по подразбиране.
Има и трета точка, която е още по-важна. Всичко това изисква злонамереният участник първо да получи достъп на ниво администратор в мрежата. От там те биха могли след това да идентифицират машини, свързани към мрежата, които все още имат локални акаунти и след това да добавят въпроси за сигурност към тези акаунти.
Защо да се притеснявам?
Идеята е, че ако администраторите открият и отменят достъпа на злонамерения актьор, впоследствие променяйки всички пароли, актьорът на теория може да се върне обратно в мрежата до тези машини и да използва персонализираните си въпроси, за да нулира тези пароли и да си възвърне пълен достъп .
Изследователите предполагат, че могат да използват и инструмент за хеширане, за да определят предишната парола и след това да възстановят старата парола, за да скрият достъпа си. Проблемът тук е, че повечето мрежи с домейни не позволяват повторно използвани пароли по подразбиране.
Когато Ars Technica помоли Microsoft за коментар, отговорът беше кратък:
Описаната техника изисква нападателят вече да притежава администраторски достъп
Макар че това може да изглежда тъпо на пръв поглед, това, което намеква Microsoft, е правилно и ни води до истинската същност на въпроса. След като злонамерен актьор има достъп на административно ниво в мрежата, потенциалните щети и пътищата за атака надхвърлят простите трикове за нулиране на паролата. И ако мрежата е достатъчно стабилна, за да попречи на злонамереното лице да придобие административно ниво, тогава всичко това е спорно.
Така че в крайна сметка нашият злонамерен нападател ще трябва да получи достъп на ниво администратор до бизнес мрежа, която използва домейн на Windows, да намери компютри, които може да имат локални акаунти в тях, и след това да създаде въпроси за сигурност, за да могат да се върнат в тези компютри, ако бъдат открити и заключени. И ние трябва да се притесняваме за това, когато достъпът им на ниво администратор им дава възможността вече да причиняват много повече вреда.
Схванах го. И така, това важи ли за мен?
Ако използвате компютър с Windows 10 у дома, краткият отговор почти със сигурност не е. И ето защо:
Вашият домашен компютър най-вероятно не е присъединен към домейн.
Дори и да беше, ще трябва да използвате локален акаунт и повечето хора в Windows 10 вероятно използват акаунт в Microsoft за влизане. Това е така, защото Windows 10 изисква използване на акаунт в Microsoft, за да работят много функции правилно. И докато вместо това можете да предприемете няколко допълнителни стъпки, за да създадете локален акаунт, Microsoft не го прави най-очевидния избор. Ако използвате акаунт в Microsoft, тогава нямате опцията да използвате въпроси за нулиране на паролата.
За да се възползва от това, някой ще трябва да има отдалечен или физически достъп до вашия компютър. И с това ниво на достъп въпросите за нулиране на паролата са най-малкото от притесненията ви.
Така че, шансовете са много високи, че нито едно от това изследване не се отнася за вас. Но дори и да използвате локален акаунт, присъединен към домейн, всичко това се свежда до вековен набор от въпроси. От колко удобство трябва да се откажете в името на сигурността? И обратно, от колко сигурност трябва да се откажете в името на удобството?
В този случай шансовете лош актьор да получи достъп до вашата машина и да използва въпроси за сигурност, за да получи пълен контрол, са невероятно отдалечени. А шансовете да забравите паролата си и да имате нужда от въпросите са малко по-високи. Направете равносметка на ситуацията си и направете най-добрия избор за вас.