En nyligen genomförd studie av en forskargrupp belyste en potentiell säkerhetsrisk där frågor för lösenordsåterställning kan användas för att obehörigt komma åt datorer med Windows 10. Detta har lett till diskussioner om att eventuellt inaktivera funktionen. Som privatanvändare behöver du dock sannolikt inte oroa dig.
Vad är bakgrunden till detta?
Enligt rapporter från Ars Technica har Windows 10 under det senaste året tillåtit användare att konfigurera frågor för lösenordsåterställning för lokala konton. Säkerhetsforskare har granskat detta och upptäckt en potentiell sårbarhet i företagsnätverk.
Det finns två nyckelaspekter att notera:
För det första förlitar sig scenariot på datorer som är anslutna till ett domännätverk, vilket är vanligt i företagsmiljöer med centralt hanterade datorer.
För det andra berör sårbarheten lokala konton. Detta är intressant eftersom datorer i en domänmiljö nästan alltid använder centraliserade domänkonto snarare än lokala konton. Dessutom är säkerhetsfrågor inte standard för domänkonton.
Det finns även en tredje, viktigare aspekt. För att detta ska fungera måste den angripande parten först få administratörsbehörighet i nätverket. Därifrån kan de identifiera datorer med lokala konton, och sedan lägga till säkerhetsfrågor till dessa konton.
Varför skulle detta vara ett problem?
Tanken är att om administratörer upptäcker och åtgärdar den skadliga aktiviteten och ändrar alla lösenord, så kan angriparen teoretiskt ta sig tillbaka in i nätverket till de berörda datorerna genom att använda de skräddarsydda säkerhetsfrågorna för att återställa lösenorden och få fullständig åtkomst igen.
Forskarna menade också att det är möjligt att använda ett hash-verktyg för att ta reda på det tidigare lösenordet och återställa det gamla lösenordet för att dölja deras aktivitet. Det bör dock påpekas att många domännätverk som standard inte tillåter att man återanvänder lösenord.
Microsofts svar på en förfrågan från Ars Technica var kortfattat:
Den beskrivna metoden kräver att en angripare redan har administratörsbehörighet.
Även om det kan verka enkelt, så är Microsofts poäng relevant. När en obehörig aktör har administratörsbehörighet i ett nätverk, så finns det otaliga vägar för potentiell skada. Om ett nätverk har tillräcklig säkerhet för att förhindra att obehöriga personer får administratörsbehörighet, så är hela denna attackplan omöjlig.
Sammanfattningsvis, skulle den potentiella angriparen behöva ha administratörsbehörighet i ett företagsnätverk som använder en Windows-domän. De skulle sedan behöva hitta datorer som har lokala konton och skapa säkerhetsfrågor, för att kunna ta sig in i de datorerna om deras aktivitet upptäcks och stoppas. Det är mer oroväckande att de redan har administratörsbehörighet, vilket ger dem möjlighet att göra betydligt större skada.
Är detta relevant för mig?
Om du använder en Windows 10-dator hemma så är svaret sannolikt nej. Här är skälen:
Din dator hemma är troligtvis inte ansluten till en domän.
Även om den skulle vara det så är det troligt att du inte använder ett lokalt konto. De flesta som använder Windows 10 loggar in med ett Microsoft-konto. Detta beror på att Windows 10 kräver ett Microsoft-konto för att många funktioner ska fungera som avsett. Även om det går att skapa ett lokalt konto, gör Microsoft det inte till det mest uppenbara valet. Om du använder ett Microsoft-konto så kan du inte använda frågor för lösenordsåterställning.
För att utnyttja sårbarheten krävs antingen fjärråtkomst eller fysisk åtkomst till din dator. Men med den nivån av åtkomst är lösenordsåterställningsfrågor det minsta av dina bekymmer.
Sannolikheten att denna forskning ska vara relevant för dig är väldigt liten. Även om du skulle använda ett lokalt konto anslutet till en domän, så handlar allt detta om en gammal fråga: Hur mycket bekvämlighet är du villig att offra för säkerheten, och vice versa?
I det här fallet är risken för att en obehörig aktör kommer in i din dator och använder säkerhetsfrågor för att få fullständig kontroll väldigt liten. Samtidigt är risken att glömma lösenordet och behöva återställningsfrågorna lite större. Det är bäst att göra en bedömning av din egen situation och göra det val som passar dig bäst.