Ei, te ei pea Windowsi 10 parooli taastamise küsimusi keelama
Hiljuti kirjeldas rühma teadlasi stsenaariumi, kus paroolide taastamise küsimusi kasutati Windows 10 arvutitesse sattumiseks. See on viinud mõne soovituseni selle funktsiooni keelata. Aga te ei pea seda tegema, kui olete kodus arvuti kasutaja.
Niisiis, mis toimub siin?
Nagu Ars Technica esmakordselt teatas, on Windows 10 lisanud võimaluse seada eelmisel aastal kohalikele kontodele parooli taastamise küsimused. Julgeoleku-uurijad sattusid sellesse ja avastasid, et ärivõrgus võib see põhjustada potentsiaalset haavatavust.
Paremale väljapoole saab seal kaks olulist punkti:
- Esiteks sõltub kogu stsenaarium domeenivõrguga ühendatud arvutitest - sellest, mida leiad ärivõrgus hallatavate arvutitega.
- Teiseks kehtib haavatavus kohalikele kontodele. See on eriti huvitav, sest kui teie arvuti on osa domeenist, siis kasutate peaaegu kindlasti tsentraliseeritud domeeni kasutajakontot, mitte kohalikku kontot. Ja turvalisuse küsimused ei ole vaikimisi domeenikontodel lubatud.
Seal on ka kolmas punkt, mis on veelgi olulisem. Kõik see eeldab, et pahatahtlik osaleja saab kõigepealt võrgus administraatoritaseme. Sealt saavad nad tuvastada võrguga ühendatud masinaid, millel on endiselt kohalikud kontod ja seejärel lisada neile kontodele turvaküsimusi.
Miks vaevu?
Idee seisneb selles, et kui administraatorid avastavad ja tühistavad pahatahtliku osaleja juurdepääsu, muutes seejärel kõik paroolid, võib näitleja teoreetiliselt nende võrkude juurde tagasi pöörduda ja kasutada oma kohandatud küsimusi nende paroolide lähtestamiseks ja täieliku juurdepääsu taastamiseks.
Uurijad soovitasid, et nad võiksid ka eelmise parooli määramiseks kasutada segamisvahendit ja seejärel taastada vana salasõna nende juurdepääsu varjamiseks. Probleem on selles, et enamik domeenivõrke ei võimalda vaikimisi korduvkasutatavaid paroole.
Kui Ars Technica küsis Microsoftilt kommentaari, oli vastus lühike:
Kirjeldatud meetod nõuab, et ründajal oleks juba administraatori juurdepääs
Kuigi see võib kõigepealt tunduda kohatu, on see, mida Microsoft ütleb, õige, ja see viib meid tõelise asja tuumani. Kui pahatahtlikul osalejal on võrgus juurdepääs haldusalasele tasemele, siis võimalikud kahjustused ja rünnakute võimalused ulatuvad kaugemale lihtsast parooli lähtestamise trikke. Ja kui võrk on piisavalt tugev, et takistada pahatahtlikku näitlejat kunagi haldustasandilt, siis on see kõik vaieldav.
Seega peaks meie pahatahtlik ründaja lõpuks saama administraatori tasemel juurdepääsu ärivõrgule, mis kasutab Windowsi domeeni, leida arvutid, millel võib olla kohalikud kontod, ning seejärel luua turvaküsimusi, et nad saaksid tagasi pöörduda arvutid, kui need on avastatud ja lukustatud. Ja me peaksime muretsema selle pärast, et kui nende administraatori tasemel juurdepääs annab neile võimaluse teha juba palju rohkem kahju.
Sain aru. Niisiis, kas see kehtib mulle?
Kui kasutate kodus koduarvutit Windows 10, ei ole lühike vastus peaaegu kindlasti. Ja siin on, miks:
- Teie koduarvuti ei ole tõenäoliselt domeeniga ühendatud.
- Isegi kui see oleks olnud, peate kasutama kohalikku kontot ja enamik inimesi Windows 10-s kasutavad tõenäoliselt Microsofti kontot sisselogimiseks. See on sellepärast, et Windows 10 nõuab paljude funktsioonide õigeks töötamiseks Microsofti kontot. Ja kuigi saate kohaliku konto loomiseks teha mõningaid täiendavaid samme, ei tee Microsoft seda kõige ilmsemaks valikuks. Kui kasutate Microsofti kontot, siis pole teil võimalik parooli lähtestamise küsimusi kasutada.
- Selleks, et seda ära kasutada, peab keegi teie arvutis olema kas kaugjuhtimisega või füüsiliselt ligipääsetav. Ja selle juurdepääsutasemega on parooli lähtestamise küsimused kõige vähem teie muredest.
Niisiis on väga suured võimalused, et ükski selle uuringu ei puuduta teid. Aga isegi kui kasutate domeeniga ühendatud kohalikku kontot, siis see kõik saabub vanade küsimuste hulka. Kui palju mugavust peaksite turvalisuse nimel loobuma? Seevastu kui palju turvalisust peaksite mugavuse nimel loobuma?
Sellisel juhul on tõenäoline, et halb näitleja pääseb teie masinale ja kasutab turvaküsimusi täieliku kontrolli saamiseks. Ja parooli unustamise ja küsimuste unustamise võimalused on veidi kõrgemad. Arvestage oma olukorda ja tehke teile parim valik.