Ne, jums nereikia išjungti slaptažodžio atkūrimo klausimų „Windows 10“
Neseniai mokslininkų grupė apibūdino scenarijų, kuriame slaptažodžio atkūrimo klausimai buvo panaudoti, norint įsilaužti į „Windows 10“ kompiuterius. Dėl to buvo pasiūlyta išjungti šią funkciją. Tačiau jums nereikia to daryti, jei esate namų kompiuterio vartotojas.
Taigi, kas vyksta čia?
Kaip pirmą kartą pranešė „Ars Technica“, „Windows 10“ pridėjo galimybę nustatyti praėjusių metų vietinių sąskaitų slaptažodžio atkūrimo klausimus. Saugumo tyrėjai įsitraukė į tai ir nustatė, kad verslo tinkle tai gali sukelti galimą pažeidžiamumą.
Tiesiai iš šikšnosparnio galite pastebėti du svarbius taškus:
- Pirma, visas scenarijus priklauso nuo kompiuterių, prijungtų prie domeno tinklo - tokio tipo, kurį galite rasti verslo tinkle su valdomais kompiuteriais.
- Antra, pažeidžiamumas taikomas vietinėms paskyroms. Tai ypač įdomu, nes jei jūsų kompiuteris yra domeno dalis, beveik neabejotinai naudojate centralizuotą domeno vartotojo paskyrą, o ne vietinę paskyrą. Saugumo klausimai pagal domeno paskyras yra neleistini.
Taip pat yra trečias dalykas, kuris yra dar svarbesnis. Visa tai reikalauja, kad kenksmingas veikėjas pirmiausia gautų administratoriaus lygio prieigą tinkle. Iš ten jie galėjo nustatyti prie tinklo prijungtas mašinas, kuriose vis dar yra vietinių paskyrų, ir tada pridėti saugos klausimus į šias sąskaitas.
Kodėl broli?
Idėja yra ta, kad jei administratoriai atranda ir atšaukia kenkėjiško dalyvio prieigą, vėliau pakeisdami visus slaptažodžius, aktorius teoriškai galėtų grįžti į tinklą į šias mašinas ir naudoti savo pasirinktus klausimus, kad iš naujo nustatytų šiuos slaptažodžius ir atgautų pilną prieigą.
Mokslininkai pasiūlė, kad jie taip pat galėtų naudoti maišymo įrankį, kad nustatytų ankstesnį slaptažodį, o tada atkurti seną slaptažodį, kad paslėptų jų prieigą. Problema yra ta, kad dauguma domenų tinklų neleidžia numatytiems pakartotinai naudojamiems slaptažodžiams.
Kai Ars Technica paprašė Microsoft pateikti pastabas, atsakymas buvo trumpas:
Aprašyta technika reikalauja, kad užpuolikas jau turėtų administratoriaus prieigą
Nors tai iš pradžių gali atrodyti netinkama, tai, ką „Microsoft“ reiškia, yra teisinga, ir ji atneša mums tikrą dalyko esmę. Kai kenkėjiškas veikėjas turi prieigą prie administracinio lygio tinkle, galimos žalos ir užpuolimo būdai gerokai viršija paprastus slaptažodžio nustatymo gudrybės. Ir jei tinklas yra pakankamai tvirtas, kad užkirstų kelią kenkėjiškam aktoriui nuo vis didesnio administracinio lygio, tai visa tai yra ginčytina.
Taigi, galiausiai mūsų kenkėjiškas užpuolikas turėtų gauti administratoriaus lygio prieigą prie verslo tinklo, kuriame naudojamas „Windows“ domenas, suraskite kompiuterius, kuriuose gali būti vietinės paskyros, ir tada sukurti saugos klausimus, kad jie galėtų grįžti į tuos kompiuteriai, jei jie yra atrasti ir užrakinti. Ir mes turėtume būti susirūpinę tuo, kad kai jų administratoriaus lygmens prieiga suteikia jiems galimybę padaryti dar daugiau žalos jau dabar.
Supratau. Taigi, ar tai taikoma man?
Jei naudojate „Windows 10“ kompiuterį namuose, trumpas atsakymas tikrai nėra. Ir štai kodėl:
- Jūsų namų kompiuteris greičiausiai nėra prijungtas prie domeno.
- Net jei taip būtų, turėtumėte naudoti vietinę paskyrą ir dauguma „Windows 10“ žmonių, norėdami prisijungti, tikriausiai naudoja „Microsoft“ paskyrą. Taip yra todėl, kad „Windows 10“ turi naudoti „Microsoft“ paskyrą, kad daug funkcijų veiktų tinkamai. O vietoj to, kad galėtumėte sukurti vietinę paskyrą, Microsoft gali atlikti keletą papildomų veiksmų, o „Microsoft“ tai nėra pats akivaizdiausias pasirinkimas. Jei naudojate „Microsoft“ paskyrą, tuomet neturite galimybės naudoti slaptažodžio nustatymo iš naujo klausimus.
- Norint pasinaudoti šia galimybe, kas nors turėtų turėti nuotolinę arba fizinę prieigą prie jūsų kompiuterio. Ir su šiuo prieigos lygiu, slaptažodžio atstatymo klausimai yra mažiausiai jūsų rūpesčių.
Taigi, yra didelė tikimybė, kad joks jūsų tyrimas netaikomas. Bet net jei jūs naudojate vietinę paskyrą, prijungtą prie domeno, visa tai ateina į senus klausimus. Kiek patogumo turėtumėte atsisakyti saugumo vardu? Ir atvirkščiai, kiek saugumą turėtumėte atsisakyti patogumo vardu?
Šiuo atveju tikimybė, kad blogas veikėjas gali pasiekti jūsų įrenginį ir naudoti saugumo klausimus, kad gautų visišką valdymą, yra neįtikėtinai nutolęs. Ir tikimybė pamiršti savo slaptažodį ir reikalauti klausimų yra šiek tiek didesnė. Įvertinkite savo padėtį ir atlikite geriausią pasirinkimą.