Niedawno grupa badaczy opisała scenariusz, w którym do włamania się do komputerów z systemem Windows 10 użyto pytań dotyczących odzyskiwania hasła. Doprowadziło to do niektórych sugestii wyłączenia tej funkcji. Ale nie musisz tego robić, jeśli jesteś użytkownikiem komputera domowego.
Więc co się tutaj dzieje?
Tak jak Ars Technica po raz pierwszy zgłoszono, system Windows 10 dodał opcję ustawiania pytań dotyczących odzyskiwania hasła na kontach lokalnych w zeszłym roku. Badacze bezpieczeństwa zagłębili się w to i odkryli, że w sieci biznesowej może to prowadzić do potencjalnej luki w zabezpieczeniach.
Od razu widać tam dwa ważne punkty:
Po pierwsze, cały scenariusz opiera się na komputerach przyłączonych do sieci domeny – takiej, jaką można znaleźć w sieci firmowej z zarządzanymi komputerami.
Po drugie, luka dotyczy kont lokalnych. Jest to szczególnie interesujące, ponieważ jeśli Twój komputer jest częścią domeny, prawie na pewno używasz scentralizowanego konta użytkownika domeny, a nie konta lokalnego. Pytania zabezpieczające nie są domyślnie dozwolone na kontach domeny.
Jest jeszcze trzecia kwestia, która jest jeszcze ważniejsza. Wszystko to wymaga od złośliwego aktora, aby najpierw uzyskał dostęp do sieci na poziomie administratora. Następnie mogli zidentyfikować komputery podłączone do sieci, które nadal mają konta lokalne, a następnie dodać pytania zabezpieczające do tych kont.
Po co się męczyć?
Chodzi o to, że jeśli administratorzy odkryją i unieważnią dostęp złośliwego aktora, a następnie zmienią wszystkie hasła, aktor mógłby teoretycznie wrócić do sieci na te maszyny i użyć swoich niestandardowych pytań, aby zresetować te hasła i odzyskać pełny dostęp .
Badacze zasugerowali, że mogą również użyć narzędzia haszującego do określenia poprzedniego hasła, a następnie przywrócić stare hasło, aby ukryć dostęp. Problem polega na tym, że większość sieci domen domyślnie nie zezwala na ponowne użycie haseł.
Kiedy Ars Technica poprosiła Microsoft o komentarz, odpowiedź była krótka:
Opisana technika wymaga, aby osoba atakująca już miała dostęp administratora
Chociaż na początku może się to wydawać tępe, to, co sugeruje Microsoft, jest słuszne i prowadzi nas do prawdziwego sedna sprawy. Gdy złośliwy aktor uzyska dostęp do sieci na poziomie administracyjnym, potencjalne szkody i drogi ataku wykraczają daleko poza proste sztuczki resetowania hasła. A jeśli sieć jest wystarczająco solidna, aby uniemożliwić złośliwemu aktorowi uzyskanie poziomu administracyjnego, to wszystko to jest dyskusyjne.
Ostatecznie więc nasz złośliwy atakujący musiałby uzyskać dostęp na poziomie administratora do sieci firmowej korzystającej z domeny Windows, znaleźć komputery, na których mogą znajdować się konta lokalne, a następnie utworzyć pytania zabezpieczające, aby móc do nich wrócić komputery, jeśli zostaną wykryte i zablokowane. I powinniśmy się tym martwić, gdy ich dostęp na poziomie administratora daje im możliwość wyrządzenia o wiele więcej szkód.
Rozumiem. Czy to dotyczy mnie?
Jeśli używasz komputera z systemem Windows 10 w domu, krótka odpowiedź prawie na pewno brzmi nie. A oto dlaczego:
Twój domowy komputer najprawdopodobniej nie jest przyłączony do domeny.
Nawet gdyby tak było, musiałbyś używać konta lokalnego, a większość użytkowników systemu Windows 10 prawdopodobnie używa konta Microsoft do logowania. Dzieje się tak, ponieważ system Windows 10 wymaga korzystania z konta Microsoft, aby wiele funkcji działało poprawnie. I chociaż możesz wykonać kilka dodatkowych kroków, aby zamiast tego utworzyć konto lokalne, Microsoft nie czyni tego najbardziej oczywistym wyborem. Jeśli korzystasz z konta Microsoft, nie możesz używać pytań dotyczących resetowania hasła.
Aby to wykorzystać, ktoś musiałby mieć zdalny lub fizyczny dostęp do komputera. A przy takim poziomie dostępu pytania dotyczące resetowania hasła są najmniejszym z Twoich zmartwień.
Więc szanse są bardzo duże, że żadne z tych badań nie dotyczy ciebie. Ale nawet jeśli używasz konta lokalnego przyłączonego do domeny, wszystko to sprowadza się do odwiecznego zestawu pytań. Z jakiej wygody zrezygnować w imię bezpieczeństwa? I odwrotnie, ile bezpieczeństwa należy zrezygnować w imię wygody?
W takim przypadku szanse, że zły aktor uzyska dostęp do twojego komputera i użyje pytań zabezpieczających, aby uzyskać pełną kontrolę, są niewiarygodnie małe. Szanse na zapomnienie hasła i konieczność zadawania pytań są nieco większe. Oceń swoją sytuację i dokonaj najlepszego wyboru.