Нет, вам не нужно отключать вопросы для восстановления пароля в Windows 10
Гайд в разделе Windows "Нет, вам не нужно отключать вопросы для восстановления пароля в Windows 10" содержит информацию, советы и подсказки, которые помогут изучить самые важные моменты и тонкости вопроса….
Недавно группа исследователей описала сценарий, в котором вопросы восстановления пароля использовались для взлома компьютеров с Windows 10. Это привело к тому, что некоторые предложили отключить эту функцию. Но вам не нужно этого делать, если вы пользуетесь домашним компьютером.
Итак, что здесь происходит?
Как впервые сообщила Ars Technica, в прошлом году Windows 10 добавила возможность задавать вопросы для восстановления пароля для локальных учетных записей. Исследователи безопасности углубились в это и обнаружили, что в бизнес-сети это может привести к потенциальной уязвимости.
Сразу же вы можете выделить здесь два важных момента:
- Во-первых, Весь сценарий основан на компьютерах, подключенных к доменной сети – типа того, что вы найдете в бизнес-сети с управляемыми компьютерами.
- Во-вторых, уязвимость касается локальных учетных записей. Это особенно интересно, потому что если ваш компьютер является частью домена, вы почти наверняка используете централизованную учетную запись пользователя домена, а не локальную. А контрольные вопросы по умолчанию не разрешены для учетных записей домена.
Есть еще третий момент, который еще более важен. Все это требует, чтобы злоумышленник сначала получил доступ к сети с правами администратора. Оттуда они смогут идентифицировать подключенные к сети машины, у которых все еще есть локальные учетные записи, а затем добавить контрольные вопросы к этим учетным записям.
Зачем беспокоиться?
Идея состоит в том, что если администраторы обнаруживают и отменяют доступ злоумышленника, впоследствии изменив все пароли, субъект теоретически может вернуться в сеть к этим машинам и использовать свои собственные вопросы, чтобы сбросить эти пароли и восстановить полный доступ.
Исследователи предложили также использовать инструмент хеширования, чтобы определить предыдущий пароль, а затем восстановить старый пароль, чтобы скрыть доступ. Проблема в том, что большинство доменных сетей по умолчанию не допускают повторное использование паролей.
Когда Ars Technica обратилась в Microsoft за комментарием, ответ был коротким:
Описанный метод требует, чтобы злоумышленник уже обладал правами администратора
Хотя поначалу это может показаться глупым, то, что намекает Microsoft, правильно, и подводит нас к настоящей сути дела. Как только злоумышленник получает доступ к сети на уровне администратора, потенциальный ущерб и возможности атаки выходят далеко за рамки простых уловок для сброса пароля. И если сеть достаточно устойчива, чтобы злоумышленник не смог получить административный уровень, то все это спорный вопрос.
Итак, в конце концов, нашему злоумышленнику потребуется получить доступ на уровне администратора к бизнес-сеть, которая использует домен Windows, находит компьютеры, на которых могут быть локальные учетные записи, а затем создает контрольные вопросы, чтобы они могли вернуться к этим компьютерам, если они будут обнаружены и заблокированы. И мы должны беспокоиться об этом, когда их доступ на уровне администратора уже дает им возможность нанести гораздо больший вред.
Понятно. Итак, относится ли это ко мне?
Если вы используете дома компьютер с Windows 10, ответ почти наверняка отрицательный. И вот почему:
- Ваш домашний компьютер, скорее всего, не присоединен к домену.
- Даже если бы это было так, вам пришлось бы использовать локальную учетную запись, и большинство людей в Windows 10, вероятно, для входа используется учетная запись Microsoft. Это связано с тем, что Windows 10 требует использования учетной записи Microsoft для правильной работы многих функций. И хотя вместо этого вы можете предпринять несколько дополнительных шагов, чтобы создать локальную учетную запись, Microsoft не делает это наиболее очевидным выбором. Если вы используете учетную запись Microsoft, у вас нет возможности использовать вопросы для сброса пароля.
- Чтобы воспользоваться этим, кому-то потребуется удаленный или физический доступ к вашему компьютеру. И с таким уровнем доступа вопросы по сбросу пароля – меньше всего вас беспокоит.
Таким образом, очень высоки шансы, что ни одно из этих исследований к вам не относится. Но даже если вы используете локальную учетную запись, присоединенную к домену, все это сводится к давнему набору вопросов. Насколько от удобства вы должны отказаться во имя безопасности? И наоборот, от какой безопасности вы должны отказаться во имя удобства?
В этом случае вероятность того, что злоумышленник получит доступ к вашей машине и использует контрольные вопросы для получения полного контроля, невероятно мала. А шансы забыть пароль и у вас возникнут вопросы немного выше. Оцените свою ситуацию и сделайте лучший выбор за вас.