Nyligen beskrev en grupp forskare ett scenario där frågor om lösenordsåterställning användes för att bryta sig in i Windows 10-datorer. Detta har lett till att vissa föreslår att funktionen inaktiveras. Men du behöver inte göra detta om du är en hemdatoranvändare.
Så, vad är det som händer här?
Som Ars Technica först rapporterades, Windows 10 har lagt till möjligheten att ställa in lösenordsåterställningsfrågor på lokala konton under det senaste året. Säkerhetsforskare grävde i detta och upptäckte att på ett affärsnätverk kan detta leda till potentiell sårbarhet.
Direkt kan du se två viktiga punkter där:
För det första förlitar sig hela scenariot på datorer som är anslutna till ett domännätverk – den typ som du hittar i ett affärsnätverk med hanterade datorer.
För det andra gäller sårbarheten lokala konton. Det är särskilt intressant eftersom om din dator är en del av en domän så använder du nästan säkert ett centraliserat domänanvändarkonto och inte ett lokalt konto. Och säkerhetsfrågor är inte tillåtna på domänkonton som standard.
Det finns också en tredje punkt som är ännu viktigare. Allt detta kräver att den illvilliga aktören först får åtkomst på administratörsnivå på nätverket. Därifrån kunde de sedan identifiera maskiner anslutna till nätverket som fortfarande har lokala konton och sedan lägga till säkerhetsfrågor till dessa konton.
Varför bry sig?
Tanken är att om administratörer upptäcker och återkallar den skadliga aktörens åtkomst, och sedan ändrar alla lösenord, kan skådespelaren i teorin ta sig tillbaka till nätverket till dessa maskiner och använda sina anpassade frågor för att återställa dessa lösenord och återfå full åtkomst. .
Forskarna föreslog att de också kunde använda ett hashverktyg för att fastställa det tidigare lösenordet och sedan återställa det gamla lösenordet för att dölja deras åtkomst. Problemet här är att de flesta domännätverk inte tillåter återanvända lösenord som standard.
När Ars Technica bad Microsoft om en kommentar var svaret kort:
Den beskrivna tekniken kräver att en angripare redan har administratörsåtkomst
Även om det kan verka trubbigt till en början, är det som Microsoft antyder rätt, och det för oss till sakens verkliga kärna. När en illvillig aktör väl har åtkomst till ett nätverk på administrativ nivå går den potentiella skadan och attackvägarna långt utöver enkla trick för återställning av lösenord. Och om ett nätverk är tillräckligt robust för att förhindra den illvilliga aktören från att någonsin nå administrativ nivå, då är allt detta omöjligt.
Så i slutändan skulle vår illvilliga angripare behöva få åtkomst på administratörsnivå till ett affärsnätverk som använder en Windows-domän, hitta datorer som kan ha lokala konton på dem och sedan skapa säkerhetsfrågor så att de kan komma tillbaka till dessa. datorer om de upptäcks och låses ute. Och vi ska vara oroliga för det när deras åtkomst på administratörsnivå ger dem möjlighet att göra så mycket mer skada redan.
Jag förstår. Så, gäller detta mig?
Om du använder en Windows 10-dator hemma är det korta svaret nästan säkert inte. Och här är varför:
Din hemdator är troligen inte ansluten till en domän.
Även om det vore det, måste du använda ett lokalt konto och de flesta på Windows 10 använder förmodligen ett Microsoft-konto för att logga in. Detta beror på att Windows 10 kräver att du använder ett Microsoft-konto för att många funktioner ska fungera korrekt. Och även om du kan ta några extra steg för att skapa ett lokalt konto istället, gör Microsoft det inte till det mest självklara valet. Om du använder ett Microsoft-konto har du inte möjlighet att använda frågor om lösenordsåterställning.
För att dra fördel av detta skulle någon behöva ha antingen fjärråtkomst eller fysisk åtkomst till din dator. Och med den åtkomstnivån är frågor om lösenordsåterställning det minsta av dina bekymmer.
Så chansen är mycket stor att ingen av denna forskning gäller dig. Men även om du använder ett lokalt konto som är anslutet till en domän, beror allt detta på en urgammal uppsättning frågor. Hur mycket bekvämlighet ska du avstå i säkerhetens namn? Omvänt, hur mycket säkerhet ska du avstå i bekvämlighetens namn?
I det här fallet är chansen att en dålig skådespelare kommer åt din maskin och använder säkerhetsfrågor för att få full kontroll otroligt små. Och chansen att glömma ditt lösenord och behöva frågorna är lite större. Gör en inventering av din situation och gör det bästa valet för dig.