For nylig beskrev en gruppe forskere et scenarie, hvor spørgsmål om adgangskodegendannelse blev brugt til at bryde ind i Windows 10-pc’er. Dette har ført til, at nogle foreslår at deaktivere funktionen. Men du behøver ikke at gøre dette, hvis du er hjemmecomputerbruger.
Så hvad sker der her?
Som Ars Technica først rapporteret, Windows 10 har tilføjet muligheden for at indstille adgangskodegendannelsesspørgsmål på lokale konti i det seneste år. Sikkerhedsforskere dykkede ned i dette og opdagede, at på et forretningsnetværk kunne dette føre til potentiel sårbarhed.
Lige fra starten kan du se to vigtige punkter der:
For det første er hele scenariet afhængig af computere, der er tilsluttet et domænetværk – den slags, du finder på et forretningsnetværk med administrerede computere.
For det andet gælder sårbarheden lokale konti. Det er især interessant, fordi hvis din pc er en del af et domæne, bruger du næsten helt sikkert en centraliseret domænebrugerkonto og ikke en lokal konto. Og sikkerhedsspørgsmål er som standard ikke tilladt på domænekonti.
Der er også et tredje punkt, der er endnu vigtigere. Alt dette kræver, at den ondsindede aktør først får adgang på administratorniveau på netværket. Derfra kunne de så identificere maskiner forbundet til netværket, som stadig har lokale konti og derefter tilføje sikkerhedsspørgsmål til disse konti.
Hvorfor bekymre sig?
Ideen er, at hvis administratorer opdager og tilbagekalder den ondsindede aktørs adgang og efterfølgende ændrer alle adgangskoder, kan skuespilleren i teorien komme tilbage til netværket til disse maskiner og bruge deres tilpassede spørgsmål til at nulstille disse adgangskoder og genvinde fuld adgang. .
Forskerne foreslog, at de også kunne bruge et hashing-værktøj til at bestemme den tidligere adgangskode og derefter gendanne den gamle adgangskode for at skjule deres adgang. Problemet her er, at de fleste domænetværk ikke tillader genbrugte adgangskoder som standard.
Da Ars Technica bad Microsoft om en kommentar, var svaret kort:
Den beskrevne teknik kræver, at en hacker allerede har administratoradgang
Selvom det umiddelbart kan virke stumpe, er det, som Microsoft antyder, rigtigt, og det bringer os til sagens egentlige kerne. Når en ondsindet aktør først har adgang til et netværk på administrativt niveau, går den potentielle skade og angrebsveje langt ud over simple tricks til nulstilling af adgangskode. Og hvis et netværk er robust nok til at forhindre den ondsindede aktør i nogensinde at opnå administrativt niveau, så er alt dette uklart.
Så i sidste ende skulle vores ondsindede angriber få administrator-niveau adgang til et virksomhedsnetværk, der bruger et Windows-domæne, finde computere, der kan have lokale konti på dem, og derefter oprette sikkerhedsspørgsmål, så de kan komme tilbage til disse. computere, hvis de bliver opdaget og låst ude. Og det formodes at vi er bekymrede over, når deres adgang på administratorniveau giver dem mulighed for allerede at gøre så meget mere skade.
Forstået. Så, gælder dette for mig?
Hvis du bruger en Windows 10-computer derhjemme, er det korte svar næsten helt sikkert ikke. Og her er hvorfor:
Din hjemme-pc er højst sandsynligt ikke tilsluttet et domæne.
Selvom det var det, skulle du bruge en lokal konto, og de fleste mennesker på Windows 10 bruger sandsynligvis en Microsoft-konto til at logge ind. Dette skyldes, at Windows 10 kræver, at du bruger en Microsoft-konto, for at mange funktioner fungerer korrekt. Og selvom du kan tage et par ekstra trin for at oprette en lokal konto i stedet, gør Microsoft det ikke til det mest oplagte valg. Hvis du bruger en Microsoft-konto, har du ikke mulighed for at bruge spørgsmål til nulstilling af adgangskode.
For at drage fordel af dette, skal nogen have enten fjernadgang eller fysisk adgang til din pc. Og med det adgangsniveau er spørgsmål til nulstilling af adgangskode den mindste bekymring.
Så chancerne er meget høje for, at ingen af denne forskning gælder for dig. Men selvom du bruger en lokal konto, der er knyttet til et domæne, kommer alt dette ned til et ældgammelt sæt spørgsmål. Hvor meget bekvemmelighed skal du give afkald på i sikkerhedens navn? Hvor meget sikkerhed skal du omvendt give afkald på i bekvemmelighedens navn?
I dette tilfælde er chancerne for, at en dårlig skuespiller får adgang til din maskine og bruger sikkerhedsspørgsmål til at få fuld kontrol, utroligt ringe. Og chancerne for at glemme din adgangskode og få brug for spørgsmålene er lidt større. Gør status over din situation, og tag det bedste valg for dig.
