Не, не морате да онемогућавате питања о опоравку лозинке на Виндовс 10
Недавно је група истраживача описала сценариј у којем су питања за враћање лозинке кориштена за пробијање у Виндовс 10 рачунала. То је довело до неких сугестија да се онемогући ова функција. Али не морате то да радите ако сте корисник кућног рачунара.
Дакле, шта се овде дешава?
Као што је Арс Тецхница први пут пријавио, Виндовс 10 је додао опцију за постављање питања за опоравак лозинке на локалним рачунима у протеклој години. Истраживачи безбедности су се упустили у ово и открили да у пословној мрежи то може довести до потенцијалне рањивости.
Одмах доле, можете уочити две важне тачке:
- Прво, цео сценарио се ослања на рачунаре који су прикључени на мрежу домена - ону коју бисте пронашли у пословној мрежи са управљаним рачунарима.
- Друго, рањивост се односи на локалне рачуне. То је посебно интересантно, јер ако је ваш рачунар део домена, готово сигурно користите централизовани кориснички налог за домен, а не локални рачун. И сигурносна питања нису дозвољена на налозима домена по подразумеваној вредности.
Постоји и трећа тачка која је још важнија. Све ово захтева да злонамерни глумац први добије приступ администраторском нивоу на мрежи. Одатле су могли да идентификују машине које су повезане са мрежом које још увек имају локалне рачуне, а затим додају безбедносна питања тим рачунима.
Зашто гњавити?
Идеја је да ако администратори открију и опозову приступ злонамерног глумца, а затим промене све лозинке, глумац би, теоретски, могао да се врати у мрежу на ове машине и да користи своја прилагођена питања за поништавање тих лозинки и повратак пуног приступа.
Истраживачи су предложили да могу користити и алатку за распршивање да би одредили претходну лозинку, а затим вратили стару лозинку да би сакрили свој приступ. Проблем је што већина мрежа домена не дозвољава поновну употребу лозинки.
Када је Арс Тецхница питао Мицрософт за коментар, одговор је био кратак:
Описана техника захтева од нападача да већ има администраторски приступ
Иако се то на први поглед чини тупим, оно што Мицрософт наговештава је исправно, и то нас доводи до праве суштине ствари. Када злонамерни актер има приступ на административном нивоу на мрежи, потенцијална штета и путеви напада далеко превазилазе једноставне трикове за поништавање лозинке. А ако је мрежа довољно робустна да спречи злонамерног глумца да икада добије административни ниво, онда је све ово беспредметно.
На крају, наш злонамерни нападач ће морати да добије приступ на пословној мрежи на нивоу администратора који користи Виндовс домен, да пронађе рачунаре који могу да имају локалне рачуне на њима, а затим креира безбедносна питања тако да могу да се врате у оне рачунара ако су откривени и закључани. Требало би да се бринемо због тога што им приступ на нивоу администратора пружа могућност да много више штете.
Схватио сам. Дакле, да ли се ово односи на мене?
Ако код куће користите Виндовс 10 рачунар, кратки одговор готово сигурно није. И ево зашто:
- Ваш кућни ПЦ вероватно није придружен домену.
- Чак и да јесте, морали бисте да користите локални налог и већина људи у Виндовсу 10 вероватно користи Мицрософт налог за пријаву. То је зато што Виндовс 10 захтева да користите Мицрософт налог да би многе функције исправно функционисале. Иако можете да направите неколико додатних корака за креирање локалног налога, Мицрософт то не чини најочигледнијим избором. Ако користите Мицрософт налог, онда немате могућност да користите питања за поништавање лозинке.
- Да бисте то искористили, неко би требао имати или даљински или физички приступ вашем ПЦ-у. Са тим нивоом приступа, питања за поништавање лозинке су најмање од ваших брига.
Дакле, врло су велике шансе да се ово истраживање не односи на вас. Али чак и ако користите локални рачун придружен домену, све ово се своди на прастари сет питања. Колико би вам требало да одустанете у име безбедности? Насупрот томе, колико безбедности треба да одустанете у име удобности?
У овом случају, шансе лошег глумца да приступи вашој машини и коришћење безбедносних питања да би стекли потпуну контролу су невероватно удаљени. А шансе да заборавите вашу лозинку и потребе за питањима су мало веће. Прегледајте своју ситуацију и направите најбољи избор за вас.