Головна » як » Ні, вам не потрібно відключати питання відновлення пароля на Windows 10

    Ні, вам не потрібно відключати питання відновлення пароля на Windows 10

    Нещодавно група дослідників описала сценарій, в якому запитання щодо відновлення пароля використовувалися для прориву в Windows 10 ПК. Це призвело до того, що деякі запропонували вимкнути цю функцію. Але вам не потрібно робити це, якщо ви користувач домашнього комп'ютера.

    Отже, що тут відбувається?

    Як повідомляє Ars Technica, Windows 10 додала можливість встановити питання відновлення пароля на локальних облікових записах за минулий рік. Дослідники безпеки дослідили це і виявили, що в бізнес-мережі це може призвести до потенційної уразливості.

    Відразу ви можете побачити два важливі пункти:

    • По-перше, весь сценарій спирається на комп'ютери, приєднані до доменної мережі - таку, яку ви знайдете в бізнес-мережі з керованими комп'ютерами.
    • По-друге, уразливість застосовується до локальних рахунків. Це особливо цікаво, тому що якщо ваш комп'ютер є частиною домену, ви майже напевно використовуєте централізований обліковий запис користувача домену, а не локальний обліковий запис. За замовчуванням на облікових записах домену заборонені питання безпеки.

    Є ще третій пункт, який ще більш важливий. Все це вимагає від зловмисного актора спочатку отримати доступ на рівні адміністратора в мережі. Після цього вони могли б ідентифікувати машини, підключені до мережі, які ще мають місцеві облікові записи, а потім до цих записів додають питання безпеки.

    Навіщо турбуватися?

    Ідея полягає в тому, що якщо адміністратори виявляють і скасовують доступ зловмисного актора, змінюючи всі паролі, актор може, теоретично, повернутися до мережі на ці машини і використовувати свої спеціальні запитання для скидання цих паролів і відновлення повного доступу..

    Дослідники запропонували також використовувати інструмент хешування для визначення попереднього пароля, а потім відновити старий пароль, щоб приховати свій доступ. Проблема тут полягає в тому, що більшість доменних мереж за замовчуванням не допускають повторно використовуваних паролів.

    Коли Ars Technica запитав Microsoft про коментар, відповідь була короткою:

    Описана методика вимагає, щоб зловмисник вже мав доступ адміністратора

    Хоча це може здатися тупим спочатку, що Microsoft має на увазі, це правильно, і це підводить нас до реальної суті питання. Після того, як зловмисний актор має доступ до адміністративного рівня в мережі, потенційний збиток і можливості атаки виходять далеко за межі трюків скидання пароля. І якщо мережа достатньо міцна, щоб запобігти зловмисному акторові ніколи не набувати адміністративного рівня, то все це спірне.

    Отже, зрештою, наш зловмисник повинен отримати доступ на рівні адміністратора до бізнес-мережі, яка використовує домен Windows, знайти комп'ютери, на яких можуть міститися локальні облікові записи, а потім створити питання безпеки, щоб вони могли повернутися до комп'ютери, якщо вони виявлені і заблоковані. І ми повинні бути стурбовані тим, що, якщо їх доступ на рівні адміністратора вже дає їм можливість ще більше завдати шкоди.

    Зрозумів. Отже, чи це стосується мене?

    Якщо ви використовуєте комп'ютер Windows 10 вдома, коротка відповідь майже напевно немає. І ось чому:

    • Швидше за все, ваш домашній ПК не приєднаний до домену.
    • Навіть якби це було, вам доведеться використовувати локальний обліковий запис, і більшість користувачів у Windows 10, ймовірно, використовують обліковий запис Microsoft для входу. Це тому, що Windows 10 вимагає використання облікового запису Microsoft для роботи багатьох функцій. І хоча ви можете зробити кілька додаткових кроків для створення локального облікового запису, Microsoft не робить це найбільш очевидним вибором. Якщо ви використовуєте обліковий запис Microsoft, у вас немає можливості використовувати запитання щодо скидання пароля.
    • Щоб скористатися цим, хтось повинен мати віддалений або фізичний доступ до вашого ПК. І з таким рівнем доступу, запитання щодо скидання пароля - це найменша проблема.

    Отже, дуже великі шанси, що жодне з цих досліджень не стосується вас. Але навіть якщо ви використовуєте локальний обліковий запис, приєднаний до домену, все це зводиться до вікового набору питань. Скільки зручності потрібно відмовитися від імені безпеки? І навпаки, скільки безпеки ви повинні відмовитися від імені зручності?

    У цьому випадку шанси поганого доступу до вашого апарата та використання питань безпеки, щоб отримати повний контроль, надзвичайно віддалені. І шанси на забуття пароля і необхідність запитань трохи вище. Ознайомтеся з ситуацією та зробіть найкращий вибір.