Nedávno skupina výzkumníků popsala scénář, kde byly otázky pro obnovení hesla použity k prolomení počítačů s Windows 10. To vedlo k tomu, že někteří navrhli tuto funkci deaktivovat. Ale nemusíte to dělat, pokud jste domácím uživatelem počítače.
Takže, co se tady děje?
Tak jako Ars Technica poprvé hlášeno, Windows 10 přidal možnost nastavit otázky pro obnovení hesla u místních účtů v minulém roce. Bezpečnostní výzkumníci se do toho ponořili a zjistili, že v obchodní síti by to mohlo vést k potenciální zranitelnosti.
Hned na začátku si můžete všimnout dvou důležitých bodů:
Za prvé, celý scénář se opírá o počítače připojené k doménové síti – takové, jaké byste našli v obchodní síti se spravovanými počítači.
Za druhé, zranitelnost se týká místních účtů. To je obzvláště zajímavé, protože pokud je váš počítač součástí domény, téměř jistě používáte uživatelský účet v centralizované doméně a ne místní účet. A bezpečnostní otázky nejsou u doménových účtů ve výchozím nastavení povoleny.
Je tu také třetí bod, který je ještě důležitější. To vše vyžaduje, aby zlomyslný aktér nejprve získal přístup k síti na úrovni správce. Odtud pak mohli identifikovat počítače připojené k síti, které stále mají místní účty, a poté k těmto účtům přidat bezpečnostní otázky.
Proč se obtěžovat?
Myšlenka je taková, že pokud administrátoři objeví a zruší přístup herce se zlými úmysly a následně změní všechna hesla, herec by se teoreticky mohl dostat zpět do sítě k těmto počítačům a pomocí svých vlastních otázek tato hesla resetovat a znovu získat plný přístup. .
Výzkumníci navrhli, že by také mohli použít hashovací nástroj k určení předchozího hesla a poté obnovit staré heslo, aby skryli svůj přístup. Problém je v tom, že většina sítí domén ve výchozím nastavení nepovoluje opakovaně používaná hesla.
Když Ars Technica požádala Microsoft o komentář, odpověď byla krátká:
Popsaná technika vyžaduje, aby útočník již měl administrátorský přístup
I když se to na první pohled může zdát hloupé, to, co Microsoft naznačuje, je správné a přivádí nás to ke skutečnému jádru věci. Jakmile má zlomyslný aktér přístup k síti na úrovni správce, potenciální škody a způsoby útoku jdou daleko za hranice jednoduchých triků s resetováním hesla. A pokud je síť dostatečně robustní, aby zabránila zlomyslnému aktérovi získat administrativní úroveň, pak je to všechno diskutabilní.
Nakonec by tedy náš zákeřný útočník musel získat přístup na úrovni správce k obchodní síti, která používá doménu Windows, najít počítače, na kterých by mohly mít místní účty, a poté vytvořit bezpečnostní otázky, aby se do nich mohl vrátit. počítače, pokud jsou objeveny a uzamčeny. A máme se toho obávat, když jim jejich přístup na úrovni správce dává možnost napáchat mnohem více škody.
Mám to. Takže, platí to i pro mě?
Pokud doma používáte počítač s Windows 10, krátká odpověď téměř jistě není. A proč:
Váš domácí počítač s největší pravděpodobností není připojen k doméně.
I kdyby tomu tak bylo, museli byste používat místní účet a většina lidí ve Windows 10 pravděpodobně používá k přihlášení účet Microsoft. Je to proto, že Windows 10 vyžaduje použití účtu Microsoft, aby mnoho funkcí fungovalo správně. A i když místo toho můžete udělat několik dalších kroků k vytvoření místního účtu, Microsoft to nečiní nejzřejmější volbou. Pokud používáte účet Microsoft, nemáte možnost použít otázky pro resetování hesla.
Abyste toho mohli využít, někdo by musel mít vzdálený nebo fyzický přístup k vašemu PC. A s touto úrovní přístupu jsou otázky pro resetování hesla tou nejmenší starostí.
Je tedy velmi vysoká šance, že se vás žádný z těchto výzkumů netýká. Ale i když používáte místní účet připojený k doméně, to vše sestává z prastaré sady otázek. Jak velkého pohodlí byste se měli vzdát ve jménu bezpečnosti? A naopak, jak velké bezpečnosti byste se měli vzdát ve jménu pohodlí?
V tomto případě je šance, že se k vašemu počítači dostane špatný herec a použije bezpečnostní otázky k získání plné kontroly, neuvěřitelně malá. A šance, že zapomenete heslo a budete potřebovat otázky, je o něco vyšší. Zvažte svou situaci a udělejte pro vás tu nejlepší volbu.