Tidak, Anda Tidak Perlu Melumpuhkan Soalan Pemulihan Kata Laluan pada Windows 10
Baru-baru ini sekumpulan penyelidik menyifatkan senario di mana soalan pemulihan kata laluan telah digunakan untuk memecah Windows 10 PC. Ini telah membawa kepada beberapa cadangan yang melumpuhkan ciri ini. Tetapi anda tidak perlu melakukan ini jika anda seorang pengguna komputer di rumah.
Jadi, apa yang berlaku di sini?
Seperti yang dilaporkan oleh Ars Technica, Windows 10 telah menambah pilihan untuk menetapkan soalan pemulihan kata laluan pada akaun tempatan pada tahun lalu. Penyelidik keselamatan menyelidiki perkara ini dan mendapati bahawa pada rangkaian perniagaan ini boleh membawa kepada potensi kerentanan.
Dari kelawar, anda boleh melihat dua perkara penting di sana:
- Pertama, keseluruhan senario bergantung pada komputer yang menyertai rangkaian domain-jenis yang anda dapati di rangkaian perniagaan dengan komputer terurus.
- Kedua, kerentanan berlaku untuk akaun tempatan. Itu sangat menarik kerana jika PC anda adalah sebahagian daripada domain, anda hampir pasti menggunakan akaun pengguna domain berpusat dan bukan akaun setempat. Dan soalan keselamatan tidak dibenarkan pada akaun domain secara lalai.
Terdapat juga titik ketiga yang lebih penting lagi. Semua ini memerlukan pelaku jahat yang pertama untuk mendapatkan akses peringkat pentadbir di rangkaian. Dari sana, mereka dapat mengenal pasti mesin yang disambungkan ke rangkaian yang masih mempunyai akaun tempatan dan kemudian menambah soalan keselamatan ke akaun tersebut.
Mengapa mengganggu?
Idea ini ialah jika admins menemui dan membatalkan akses pelaku jahat itu, kemudian menukar semua kata laluan, pelakon itu secara teori boleh membuat jalan masuk ke rangkaian ke mesin-mesin ini dan menggunakan soalan khusus mereka untuk menetapkan semula kata laluan tersebut dan mendapatkan semula akses penuh.
Para penyelidik mencadangkan mereka juga boleh menggunakan alat hashing untuk menentukan kata laluan sebelumnya, dan kemudian mengembalikan kata laluan lama untuk menyembunyikan akses mereka. Masalah di sini adalah bahawa kebanyakan rangkaian domain tidak membenarkan kata laluan yang digunakan semula secara lalai.
Apabila Ars Technica meminta Microsoft untuk memberi komen, sambutannya adalah pendek:
Teknik yang diterangkan memerlukan penyerang untuk memiliki akses pentadbir
Walaupun ia mungkin kelihatan bodoh pada mulanya, apa yang dimaksudkan oleh Microsoft adalah benar, dan ia membawa kita kepada perkara sebenar. Sebaik sahaja pelakon jahat mempunyai tahap akses pentadbiran pada rangkaian, kerosakan yang berpotensi dan saluran serangan jauh melangkaui helah semula kata laluan mudah. Dan sekiranya rangkaian cukup mantap untuk menghalang pelakon yang berniat jahat daripada mendapat peringkat pentadbiran, maka semua ini dianggap.
Oleh itu, pada akhirnya, penyerang jahat kita perlu mendapat akses peringkat pentadbir ke rangkaian perniagaan yang menggunakan domain Windows, mencari komputer yang mungkin mempunyai akaun setempat pada mereka, dan kemudian buat soalan keselamatan agar mereka dapat kembali ke komputer jika mereka ditemui dan terkunci. Dan kita sepatutnya bimbang tentang bahawa apabila akses peringkat pentadbir mereka memberi mereka keupayaan untuk melakukan lebih banyak lagi bahaya.
Got It. Jadi, Adakah ini Memohon kepada Saya?
Jika anda menggunakan komputer Windows 10 di rumah, jawapan pendek hampir pasti tidak. Dan inilah sebabnya:
- PC rumah anda kemungkinan besar tidak bergabung dengan domain.
- Sekalipun demikian, anda perlu menggunakan akaun tempatan dan kebanyakan orang di Windows 10 mungkin menggunakan akaun Microsoft untuk log masuk. Ini kerana Windows 10 memerlukan menggunakan Microsoft Account untuk banyak ciri berfungsi dengan betul. Dan sementara anda boleh mengambil beberapa langkah tambahan untuk membuat akaun setempat, Microsoft tidak menjadikannya pilihan yang paling jelas. Jika anda menggunakan Akaun Microsoft, maka anda tidak mempunyai pilihan untuk menggunakan soalan reset kata laluan.
- Untuk mengambil kesempatan ini, seseorang perlu mempunyai akses jauh atau fizikal ke PC anda. Dan dengan tahap akses itu, soalan penyetelan kata laluan adalah kurangnya kebimbangan anda.
Oleh itu, peluang yang sangat tinggi tidak ada penyelidikan yang digunakan untuk anda. Tetapi walaupun anda menggunakan akaun setempat yang bergabung ke domain, semua ini datang ke satu set soalan yang sudah berusia. Berapa banyak kemudahan yang perlu anda berikan dalam nama keselamatan? Sebaliknya, berapa banyak sekuriti yang perlu anda berikan dalam nama kemudahan?
Dalam kes ini, peluang pelakon jahat mengakses mesin anda dan menggunakan soalan keselamatan untuk mendapatkan kawalan penuh sangat jauh. Dan peluang melupakan kata laluan anda dan memerlukan soalan-soalan yang sedikit lebih tinggi. Mengambil kira keadaan anda, dan buat pilihan yang terbaik untuk anda.