Όχι, δεν χρειάζεται να απενεργοποιήσετε τις ερωτήσεις ανάκτησης κωδικού πρόσβασης στα Windows 10

από
Tweet
Share
Share
Pin

Πρόσφατα, μια ομάδα ερευνητών περιέγραψε ένα σενάριο όπου οι ερωτήσεις ανάκτησης κωδικού πρόσβασης χρησιμοποιήθηκαν για την είσοδο σε υπολογιστές με Windows 10. Αυτό οδήγησε ορισμένους να προτείνουν την απενεργοποίηση της δυνατότητας. Αλλά δεν χρειάζεται να το κάνετε αυτό εάν είστε χρήστης οικιακού υπολογιστή.

Λοιπόν, Τι συμβαίνει εδώ;

Οπως και Ars Technica που αναφέρθηκε για πρώτη φορά, τα Windows 10 πρόσθεσαν την επιλογή ορισμού ερωτήσεων ανάκτησης κωδικού πρόσβασης σε τοπικούς λογαριασμούς το περασμένο έτος. Οι ερευνητές ασφάλειας εμβαθύνουν σε αυτό και ανακάλυψαν ότι σε ένα επιχειρηματικό δίκτυο αυτό θα μπορούσε να οδηγήσει σε πιθανή ευπάθεια.

Αμέσως μετά, μπορείτε να εντοπίσετε δύο σημαντικά σημεία εκεί:

Πρώτον, ολόκληρο το σενάριο βασίζεται σε υπολογιστές που είναι συνδεδεμένοι σε ένα δίκτυο τομέα — το είδος που θα βρείτε σε ένα επιχειρηματικό δίκτυο με διαχειριζόμενους υπολογιστές.
Δεύτερον, η ευπάθεια ισχύει για τοπικούς λογαριασμούς. Αυτό είναι ιδιαίτερα ενδιαφέρον γιατί εάν ο υπολογιστής σας είναι μέρος ενός τομέα, σχεδόν σίγουρα χρησιμοποιείτε έναν κεντρικό λογαριασμό χρήστη τομέα και όχι έναν τοπικό λογαριασμό. Και οι ερωτήσεις ασφαλείας δεν επιτρέπονται σε λογαριασμούς τομέα από προεπιλογή.

Υπάρχει επίσης ένα τρίτο σημείο που είναι ακόμη πιο σημαντικό. Όλα αυτά απαιτούν από τον κακόβουλο παράγοντα πρώτα να αποκτήσει πρόσβαση σε επίπεδο διαχειριστή στο δίκτυο. Από εκεί, θα μπορούσαν στη συνέχεια να εντοπίσουν μηχανήματα συνδεδεμένα στο δίκτυο που εξακολουθούν να έχουν τοπικούς λογαριασμούς και στη συνέχεια να προσθέτουν ερωτήσεις ασφαλείας σε αυτούς τους λογαριασμούς.

  10 πράγματα που πρέπει να κάνετε όταν αποκτήσετε έναν νέο υπολογιστή με Windows

Γιατί να ασχοληθώ;

Η ιδέα είναι ότι εάν οι διαχειριστές ανακαλύψουν και ανακαλέσουν την πρόσβαση του κακόβουλου ηθοποιού, αλλάζοντας στη συνέχεια όλους τους κωδικούς πρόσβασης, ο ηθοποιός θα μπορούσε, θεωρητικά, να επιστρέψει στο δίκτυο σε αυτά τα μηχανήματα και να χρησιμοποιήσει τις προσαρμοσμένες ερωτήσεις τους για να επαναφέρει αυτούς τους κωδικούς πρόσβασης και να ανακτήσει την πλήρη πρόσβαση .

Οι ερευνητές πρότειναν ότι θα μπορούσαν επίσης να χρησιμοποιήσουν ένα εργαλείο κατακερματισμού για να προσδιορίσουν τον προηγούμενο κωδικό πρόσβασης και στη συνέχεια να επαναφέρουν τον παλιό κωδικό πρόσβασης για να κρύψουν την πρόσβασή τους. Το πρόβλημα εδώ είναι ότι τα περισσότερα δίκτυα τομέων δεν επιτρέπουν επαναχρησιμοποίηση κωδικών πρόσβασης από προεπιλογή.

Όταν η Ars Technica ζήτησε από τη Microsoft να σχολιάσει, η απάντηση ήταν σύντομη:

Η περιγραφόμενη τεχνική απαιτεί από έναν εισβολέα να έχει ήδη πρόσβαση διαχειριστή

Αν και αυτό μπορεί να φαίνεται ανόητο στην αρχή, αυτό που υπονοεί η Microsoft είναι σωστό και μας φέρνει στην πραγματική ουσία του θέματος. Από τη στιγμή που ένας κακόβουλος παράγοντας έχει πρόσβαση σε επίπεδο διαχειριστή σε ένα δίκτυο, η πιθανή ζημιά και οι δρόμοι επίθεσης υπερβαίνουν κατά πολύ τα απλά κόλπα επαναφοράς κωδικού πρόσβασης. Και αν ένα δίκτυο είναι αρκετά ισχυρό για να αποτρέψει τον κακόβουλο παράγοντα από το να αποκτήσει ποτέ διοικητικό επίπεδο, τότε όλα αυτά είναι αμφιλεγόμενα.

  Πώς να αναζητήσετε γρήγορα έναν ιστότοπο χρησιμοποιώντας συντομεύσεις σε iPhone και iPad

Έτσι, στο τέλος, ο κακόβουλος εισβολέας μας θα πρέπει να αποκτήσει πρόσβαση σε επίπεδο διαχειριστή σε ένα επιχειρηματικό δίκτυο που χρησιμοποιεί έναν τομέα των Windows, να βρει υπολογιστές που μπορεί να έχουν τοπικούς λογαριασμούς σε αυτούς και στη συνέχεια να δημιουργήσει ερωτήσεις ασφαλείας για να μπορέσει να επιστρέψει σε αυτούς υπολογιστές εάν εντοπιστούν και κλειδωθούν. Και υποτίθεται ότι ανησυχούμε για αυτό όταν η πρόσβασή τους σε επίπεδο διαχειριστή τους δίνει τη δυνατότητα να κάνουν πολύ περισσότερο κακό ήδη.

Το έπιασα. Λοιπόν, ισχύει αυτό για μένα;

Εάν χρησιμοποιείτε υπολογιστή με Windows 10 στο σπίτι, η σύντομη απάντηση είναι σχεδόν σίγουρα όχι. Και να γιατί:

Το πιθανότερο είναι ότι ο υπολογιστής του σπιτιού σας δεν είναι συνδεδεμένος σε έναν τομέα.
Ακόμα κι αν ήταν, θα έπρεπε να χρησιμοποιείτε έναν τοπικό λογαριασμό και τα περισσότερα άτομα στα Windows 10 πιθανότατα χρησιμοποιούν λογαριασμό Microsoft για να συνδεθούν. Αυτό συμβαίνει επειδή τα Windows 10 απαιτούν τη χρήση ενός λογαριασμού Microsoft για να λειτουργούν σωστά πολλές λειτουργίες. Και ενώ μπορείτε να κάνετε μερικά επιπλέον βήματα για να δημιουργήσετε έναν τοπικό λογαριασμό, η Microsoft δεν την κάνει την πιο προφανή επιλογή. Εάν χρησιμοποιείτε λογαριασμό Microsoft, τότε δεν έχετε την επιλογή να χρησιμοποιήσετε ερωτήσεις επαναφοράς κωδικού πρόσβασης.
Για να επωφεληθεί από αυτό, κάποιος θα πρέπει να έχει είτε απομακρυσμένη είτε φυσική πρόσβαση στον υπολογιστή σας. Και με αυτό το επίπεδο πρόσβασης, οι ερωτήσεις επαναφοράς κωδικού πρόσβασης είναι το λιγότερο από τις ανησυχίες σας.

  Ο υπολογιστής σας έχει ιό; Δείτε πώς να το ελέγξετε

Έτσι, οι πιθανότητες είναι πολύ υψηλές ότι καμία από αυτές τις έρευνες δεν ισχύει για εσάς. Αλλά ακόμα κι αν χρησιμοποιείτε έναν τοπικό λογαριασμό συνδεδεμένο σε έναν τομέα, όλα αυτά καταλήγουν σε ένα παλιό σύνολο ερωτήσεων. Πόση ευκολία πρέπει να εγκαταλείψετε στο όνομα της ασφάλειας; Αντίθετα, πόση ασφάλεια πρέπει να εγκαταλείψετε στο όνομα της ευκολίας;

Σε αυτήν την περίπτωση, οι πιθανότητες ένας κακός ηθοποιός να έχει πρόσβαση στο μηχάνημά σας και να χρησιμοποιήσει ερωτήσεις ασφαλείας για να αποκτήσει πλήρη έλεγχο είναι απίστευτα απομακρυσμένες. Και οι πιθανότητες να ξεχάσετε τον κωδικό πρόσβασής σας και να χρειαστείτε τις ερωτήσεις είναι λίγο μεγαλύτερες. Κάντε απολογισμό της κατάστασής σας και κάντε την καλύτερη επιλογή για εσάς.