Nedávno odborníci zkoumali situaci, kdy byly bezpečnostní otázky pro obnovení hesel zneužity k průniku do systémů Windows 10. To vyvolalo diskuse o nutnosti deaktivace této funkce. Avšak pro běžné uživatele domácích počítačů to není nutné.
O co vlastně jde?
Jak Ars Technica jako první informovala, Windows 10 v nedávné době zavedly možnost nastavení bezpečnostních otázek pro obnovení hesel u lokálních účtů. Bezpečnostní experti se na tuto funkcionalitu zaměřili a zjistili, že v podnikové síti může představovat bezpečnostní riziko.
Hned na úvod je důležité si uvědomit dvě věci:
Za prvé, celý scénář se týká počítačů v doménové síti, tedy takových, které se nacházejí v firemním prostředí a jsou spravovány. Za druhé, zranitelnost se týká lokálních účtů. Je to zajímavé, protože pokud je váš počítač připojen k doméně, pravděpodobně používáte uživatelský účet v centralizované doméně, a nikoli lokální účet. Bezpečnostní otázky nejsou pro doménové účty standardně aktivní.
Existuje však ještě třetí, a to velmi podstatný bod. Celá situace vyžaduje, aby útočník již měl přístup k síti s oprávněními administrátora. Poté by mohl identifikovat počítače připojené k síti, které stále používají lokální účty, a k těmto účtům přidat vlastní bezpečnostní otázky.
Proč by to útočník dělal?
Smyslem je, že pokud administrátoři odhalí a zablokují přístup útočníka a následně změní hesla, útočník by se teoreticky mohl znovu dostat do sítě k těmto počítačům. Pomocí svých nastavených bezpečnostních otázek by mohl hesla resetovat a opět získat plný přístup.
Výzkumníci také navrhli, že by útočník mohl využít nástroj pro hashování hesel, aby zjistil dřívější heslo. Následně by mohl obnovit staré heslo, aby zamaskoval svůj přístup. Problém je, že většina doménových sítí standardně nepovoluje opakované používání hesel.
Na dotaz Ars Technica společnost Microsoft odpověděla stručně:
Použitá technika vyžaduje, aby útočník již disponoval administrátorskými právy.
I když se to na první pohled může zdát jako zbytečnost, je to naprosto správná poznámka, která nás dostává k jádru věci. Jakmile má útočník přístup do sítě s administrátorskými právy, potenciální škody a metody útoku jsou mnohem rozsáhlejší než pouhé triky s resetováním hesel. Pokud je síť dostatečně zabezpečená, aby zabránila útočníkovi získat administrátorská práva, celá tato debata je bezpředmětná.
Závěrem, útočník by musel získat přístup na administrátorské úrovni do podnikové sítě využívající doménu Windows. Dále by musel najít počítače s lokálními účty a vytvořit bezpečnostní otázky, aby se mohl do těchto systémů dostat zpět, i když bude odhalen a jeho přístup zablokován. Máme se tedy obávat, když jeho administrátorská oprávnění mu dávají možnost napáchat mnohem větší škody?
A jak je to s běžnými uživateli?
Pokud používáte domácí počítač s Windows 10, pravděpodobně se vás tato situace netýká. Proč?
Váš domácí počítač s největší pravděpodobností není připojen k doméně. I kdyby byl, museli byste používat lokální účet. Většina uživatelů Windows 10 se přihlašuje pomocí účtu Microsoft. Je to proto, že Windows 10 vyžadují použití účtu Microsoft pro správné fungování mnoha funkcí. I když lze vynaložit další úsilí pro vytvoření lokálního účtu, Microsoft to příliš neusnadňuje. Pokud používáte účet Microsoft, nemáte možnost využít bezpečnostní otázky pro resetování hesla. A konečně, aby k tomuto zneužití došlo, musel by někdo mít vzdálený nebo fyzický přístup k vašemu počítači. Při takovémto přístupu jsou bezpečnostní otázky pro resetování hesel to nejmenší, co vás trápí.
Je tedy velmi pravděpodobné, že se vás tento výzkum netýká. Ale i pokud používáte lokální účet připojený k doméně, vše se smrskne na starou otázku. Jak moc pohodlí byste měli obětovat pro bezpečnost? A naopak, jak moc bezpečnosti byste měli obětovat pro pohodlí?
V tomto konkrétním případě je pravděpodobnost, že by se k vašemu počítači dostal útočník a zneužil bezpečnostní otázky pro získání kontroly, velmi nízká. Naopak, šance, že zapomenete heslo a budete potřebovat bezpečnostní otázky, je o něco vyšší. Zhodnoťte svou situaci a zvolte si pro vás nejlepší řešení.