Skupina výskumníkov nedávno opísala ascenár, v ktorom boli otázky na obnovenie hesla použité na preniknutie do počítačov so systémom Windows 10. To viedlo k navrhovaniu deaktivácie tejto funkcie. Nemusíte to robiť, ak ste používateľom domáceho počítača.
Čo sa teda deje?
Ako Ars Technica prvýkrát uviedla, Windows 10pridala možnosť nastaviť otázky na obnovenie hesla na miestnych účtoch za posledný rok. Výskumníci v oblasti bezpečnosti sa do toho zapojili a zistili, že v obchodnej sieti by to mohlo viesť k potenciálnej zraniteľnosti.
Hneď vedľa netopiera môžete nájsť dva dôležité body:
- Po prvé, celý scenár závisí od počítačov pripojených k doménovej sieti - aké by ste našli v podnikovej sieti so spravovanými počítačmi.
- Po druhé, zraniteľnosť sa vzťahuje na miestneÚčty. To je obzvlášť zaujímavé, pretože ak je váš počítač súčasťou domény, takmer určite používate používateľský účet v centralizovanej doméne a nie lokálny účet. Bezpečnostné otázky nie sú na doménových účtoch predvolene povolené.
Je tu ešte tretí bod, ktorý je ešte viacdôležité. To všetko si vyžaduje, aby škodlivý aktér najprv získal prístup na úrovni správcu v sieti. Odtiaľ by mohli identifikovať stroje pripojené k sieti, ktoré stále majú lokálne účty, a potom k nim pridať bezpečnostné otázky.
Načo sa obťažovať?
Ide o to, že ak správcovia objavia a zrušiaprístup škodlivého hráča, ktorý by následne zmenil všetky heslá, by sa mohol teoreticky vrátiť do siete k týmto počítačom a použiť svoje vlastné otázky na obnovenie týchto hesiel a opätovné získanie plného prístupu.
Vedci navrhli, že by mohli použiť ajhashovací nástroj na zistenie predchádzajúceho hesla a obnovenie starého hesla na skrytie ich prístupu. Problém je, že väčšina sietí sietí v predvolenom nastavení nepovoľuje opakovane použité heslá.
Keď spoločnosť Ars Technica požiadala spoločnosť Microsoft o komentár, odpoveď bola krátka:
Popísaná technika vyžaduje, aby útočník už mal správcovský prístup
Aj keď sa to na prvý pohľad môže zdať tupé, čoMicrosoft naznačuje, že má pravdu, a to nás privádza k skutočnému jadru veci. Akonáhle zlomyseľný herec bude mať prístup k sieti na úrovni administratívy, potenciálne škody a spôsoby útoku idú ďaleko nad rámec jednoduchých trikov na obnovenie hesla. A ak je sieť dostatočne robustná na to, aby zabránila škodlivému účastníkovi v získaní administratívnej úrovne, potom je toto všetko priepastné.
Nakoniec by náš nebezpečný útočník potrebovalzískať prístup na úrovni správcu k podnikovej sieti, ktorá používa doménu Windows, nájsť počítače, v ktorých môžu byť lokálne účty, a potom vytvoriť bezpečnostné otázky, aby sa mohli do týchto počítačov dostať späť, ak budú objavené a uzamknuté. A mali by sme sa obávať, že keď im prístup na úrovni správcu im umožní urobiť toľko viac škody.
Mám to. Platí to pre mňa?
Ak doma používate počítač so systémom Windows 10, krátka odpoveď je takmer určite nie. A tu je dôvod, prečo:
- Váš domáci počítač pravdepodobne nie je pripojený k doméne.
- Aj keby to tak bolo, museli by ste používať miestny počítačúčet a väčšina ľudí v systéme Windows 10 pravdepodobne používa účet Microsoft na prihlásenie. Dôvodom je skutočnosť, že systém Windows 10 vyžaduje používanie účtu Microsoft, aby veľa funkcií fungovalo správne. Aj keď namiesto toho môžete urobiť niekoľko ďalších krokov na vytvorenie miestneho účtu, spoločnosť Microsoft ho neurobí najzjavnejšou voľbou. Ak používate účet Microsoft, nemáte možnosť použiť otázky na obnovenie hesla.
- Aby ste to mohli využiť, niekto by musel mať vzdialený alebo fyzický prístup k vášmu počítaču. S touto úrovňou prístupu sú otázky na obnovenie hesla najmenšie z vašich starostí.
Šance sú teda veľmi vysoké a nič z tohovýskum sa vás týka. Ale aj keď používate miestny účet pripojený k doméne, toto všetko súvisí s vekom starými otázkami. Aké pohodlie by ste sa mali vzdať v mene bezpečnosti? Naopak, akú bezpečnosť by ste sa mali vzdať v mene pohodlia?
V tomto prípade je pravdepodobnosť zlého hercaprístup k vášmu počítaču a používanie bezpečnostných otázok na získanie úplnej kontroly sú neuveriteľne vzdialené. A šanca na zabudnutie hesla a potrebu otázok sú trochu vyššie. Zhodnoťte svoju situáciu a urobte pre vás to najlepšie.
