Нещодавно група дослідників описала сценарій, коли питання відновлення пароля використовувалися для проникнення в комп’ютери з Windows 10. Це призвело до того, що деякі запропонували відключити цю функцію. Але вам не потрібно цього робити, якщо ви користуєтеся домашнім комп’ютером.
Отже, що тут відбувається?
Як Ars Technica По-перше, минулого року Windows 10 додала можливість задавати запитання щодо відновлення пароля для локальних облікових записів. Дослідники безпеки вникли в це і виявили, що в бізнес-мережі це може призвести до потенційної вразливості.
Зразу ж тут можна помітити два важливі моменти:
По-перше, весь сценарій ґрунтується на комп’ютерах, об’єднаних у доменну мережу — таку, яку ви знайдете в бізнес-мережі з керованими комп’ютерами.
По-друге, вразливість стосується локальних облікових записів. Це особливо цікаво, оскільки якщо ваш ПК є частиною домену, ви майже напевно використовуєте централізований обліковий запис користувача домену, а не локальний обліковий запис. А контрольні запитання не дозволені в облікових записах домену за замовчуванням.
Є також третій момент, який ще важливіший. Все це вимагає, щоб зловмисник спочатку отримав доступ на рівні адміністратора в мережі. Звідти вони можуть ідентифікувати машини, підключені до мережі, які все ще мають локальні облікові записи, а потім додати таємні запитання до цих облікових записів.
Навіщо турбуватися?
Ідея полягає в тому, що якщо адміністратори виявлять та відкликають доступ зловмисника, згодом змінюючи всі паролі, актор теоретично міг би повернутися в мережу до цих машин і використовувати свої власні запитання, щоб скинути ці паролі та відновити повний доступ. .
Дослідники припустили, що вони також можуть використовувати інструмент хешування, щоб визначити попередній пароль, а потім відновити старий пароль, щоб приховати доступ. Проблема в тому, що більшість доменних мереж не дозволяють повторно використовувати паролі за замовчуванням.
Коли Ars Technica попросила Microsoft прокоментувати, відповідь була короткою:
Описана методика вимагає, щоб зловмисник вже мав доступ адміністратора
Хоча на перший погляд це може здатися тупим, те, що Microsoft має на увазі, є правильним, і це підводить нас до справжньої суті справи. Як тільки зловмисник має доступ до мережі на адміністративному рівні, потенційна шкода та шляхи атаки виходять далеко за межі простих прийомів скидання пароля. І якщо мережа достатньо надійна, щоб не дати зловмисникові отримати адміністративний рівень, то все це спірне.
Отже, зрештою, нашому зловмиснику потрібно буде отримати доступ на рівні адміністратора до бізнес-мережі, яка використовує домен Windows, знайти комп’ютери, на яких можуть бути локальні облікові записи, а потім створити таємні запитання, щоб вони могли повернутися до них. комп’ютери, якщо вони виявлені та заблоковані. І ми повинні турбуватися про це, коли їхній доступ на рівні адміністратора дає їм можливість завдати набагато більше шкоди.
Зрозумів. Отже, це стосується мене?
Якщо ви використовуєте вдома комп’ютер з Windows 10, коротка відповідь майже напевно ні. І ось чому:
Ваш домашній ПК, швидше за все, не приєднаний до домену.
Навіть якби це було так, вам довелося б використовувати локальний обліковий запис, і більшість людей у Windows 10, ймовірно, використовують обліковий запис Microsoft для входу. Це пов’язано з тим, що Windows 10 вимагає використання облікового запису Microsoft для коректної роботи багатьох функцій. І хоча замість цього ви можете зробити кілька додаткових кроків, щоб створити локальний обліковий запис, Microsoft не робить це найбільш очевидним вибором. Якщо ви використовуєте обліковий запис Microsoft, у вас немає можливості використовувати запитання щодо відновлення пароля.
Щоб скористатися цим, комусь потрібно мати віддалений або фізичний доступ до вашого ПК. І з таким рівнем доступу питання про скидання пароля – це найменша проблема.
Отже, є дуже великі шанси, що жодне з цих досліджень не стосується вас. Але навіть якщо ви використовуєте локальний обліковий запис, приєднаний до домену, все це зводиться до давнього набору питань. Наскільки зручності ви повинні відмовитися в ім’я безпеки? І навпаки, від якої безпеки ви повинні відмовитися в ім’я зручності?
У цьому випадку шанси того, що поганий актор отримає доступ до вашої машини та використає таємні запитання, щоб отримати повний контроль, неймовірно малі. І ймовірність того, що ви забудете свій пароль і знадобляться запитання, трохи вище. Оцініть свою ситуацію і зробіть найкращий вибір для себе.