Hemsida » hur » Nej, du behöver inte inaktivera frågor om lösenordsåterställning på Windows 10

    Nej, du behöver inte inaktivera frågor om lösenordsåterställning på Windows 10

    Nyligen beskriver en grupp forskare ett scenario där lösenordåterställningsfrågor användes för att bryta in i Windows 10-datorer. Detta har lett till att vissa tyder på att inaktivera funktionen. Men du behöver inte göra det om du är en hemdatoranvändare.

    Så, vad går det här?

    Som Ars Technica först rapporterade har Windows 10 lagt till möjligheten att ställa in lösenordsåterställningsfrågor på lokala konton under det gångna året. Säkerhetsforskare drog in i detta och upptäckte att det i ett företagsnätverk skulle kunna leda till potentiell sårbarhet.

    Strax utanför flaggan kan du upptäcka två viktiga punkter där:

    • För det första bygger hela scenariot på datorer som är anslutna till ett domännätverk - det slag du skulle hitta på ett företagsnätverk med hanterade datorer.
    • För det andra gäller sårbarheten för lokala konton. Det är särskilt intressant, för om din dator är en del av en domän, använder du nästan säkert ett centralt domän användarkonto och inte ett lokalt konto. Och säkerhetsfrågor är inte tillåtna på domänkonton som standard.

    Det finns också en tredje punkt som är ännu viktigare. Allt detta kräver att den skadliga skådespelaren först får administratörsnivååtkomst på nätverket. Därifrån kunde de identifiera maskiner som är anslutna till nätverket och som fortfarande har lokala konton och sedan lägga till säkerhetsfrågor på dessa konton.

    Varför bry sig?

    Tanken är att om administratörer upptäcker och återkallar den skadliga skådespelarens åtkomst och sedan ändrar alla lösenord, kan skådespelaren i teorin komma tillbaka till nätverket för dessa maskiner och använda sina egna frågor för att återställa dessa lösenord och få full åtkomst.

    Forskarna föreslog att de också skulle kunna använda ett hashing-verktyg för att bestämma det tidigare lösenordet och sedan återställa det gamla lösenordet för att dölja deras åtkomst. Problemet här är att domännamn inte tillåter återanvända lösenord som standard.

    När Ars Technica frågade Microsoft för kommentar var svaret kort:

    Den beskrivna tekniken kräver att en hacker redan har administratörsbehörighet

    Även om det kanske tycks vara otydligt i början, vad Microsoft menar är rätt, och det leder oss till den verkliga kärnan i saken. När en skadlig skådespelare har tillgång till administrativ nivå på ett nätverk går de potentiella skadorna och vägarna för attack långt utöver enkla lösenordsåterställningstest. Och om ett nätverk är tillräckligt robust för att förhindra att den onda skådespelaren någonsin vinner administrativ nivå, så är allt detta moot.

    Så i slutändan skulle vår skadliga angripare behöva få administratörsnivå tillgång till ett företagsnätverk som använder en Windows-domän, hitta datorer som kan ha lokala konton på dem och sedan skapa säkerhetsfrågor så att de kan komma tillbaka till dem datorer om de upptäckes och spärras. Och vi ska vara oroliga över det när deras administratörsnivååtkomst ger dem möjlighet att göra så mycket mer skada redan.

    Jag fattar. Så, gäller det för mig?

    Om du använder en Windows 10-dator hemma är det korta svaret nästan inte säkert. Och här är varför:

    • Din hemdator är sannolikt inte ansluten till en domän.
    • Även om det var så måste du använda ett lokalt konto och de flesta på Windows 10 använder förmodligen ett Microsoft-konto för att logga in. Det beror på att Windows 10 kräver att du använder ett Microsoft-konto för att många funktioner ska fungera korrekt. Och medan du kan ta några extra steg för att skapa ett lokalt konto istället, gör Microsoft inte det mest uppenbara valet. Om du använder ett Microsoft-konto har du inte möjlighet att använda frågor om återställning av lösenord.
    • För att dra nytta av detta, skulle någon behöva ha fjärr eller fysisk åtkomst till din dator. Och med den nivån av åtkomst är frågor om lösenordsåterställning minst av dina bekymmer.

    Så, chansen är mycket hög att ingen av denna forskning gäller dig. Men även om du använder ett lokalt konto som är anslutet till en domän, kommer allt detta till en gammal uppsättning frågor. Hur mycket bekvämlighet ska du ge upp i säkerhetens namn? Omvänt, hur mycket säkerhet ska du ge upp i namnet på bekvämligheten?

    I det här fallet är chansen att en dålig skådespelare får tillgång till din maskin och använder säkerhetsfrågor för att få full kontroll, otroligt fjärrkontroll. Och chansen att glömma ditt lösenord och behöver frågor är lite högre. Ta reda på din situation och gör det bästa valet för dig.