Недавно је група стручњака анализирала сценарио у којем су се сигурносна питања за ресетовање лозинке злоупотребљавала за продор у Виндовс 10 системе. Ова открића су подстакла неке на предлог да се ова функционалност потпуно онемогући. Међутим, уколико користите рачунар у кућним условима, то није нужно неопходно.
Шта се заправо дешава?
Како је првобитно известио Арс Тецхница, Виндовс 10 је у претходној години увео могућност постављања безбедносних питања за опоравак лозинке на локалним налозима. Стручњаци за безбедност су истражили ову функцију и установили да у пословном окружењу, она може представљати потенцијалну рањивост.
Одмах се могу издвојити две кључне ствари:
Прво, цео сценарио се темељи на рачунарима који су прикључени на мрежу домена – тип мреже који се обично среће у пословним окружењима са централизованим управљањем рачунарима.
Друго, рањивост је повезана са локалним корисничким налозима. Ово је посебно важно напоменути, јер ако је ваш рачунар део домена, највероватније користите кориснички налог централизованог домена, а не локални налог. Сигурносна питања су по подразумеваним подешавањима искључена за налоге домена.
Постоји и трећи, можда и најбитнији аспект. Да би се овај сценарио уопште остварио, злонамерни актор би прво морао да стекне администраторски приступ мрежи. Након тога, могли би да идентификују рачунаре који су прикључени на мрежу и који и даље користе локалне налоге, те да додају безбедносна питања тим налозима.
Који је циљ свега тога?
Идеја је да уколико администратори открију и укину приступ злонамерном актеру, накнадним мењањем свих лозинки, тај актор би, теоретски, могао поново да уђе у мрежу преко тих рачунара и користећи своја прилагођена сигурносна питања, ресетује лозинке и поново успостави пун приступ.
Истраживачи су такође наговестили да би могли да користе алате за „хеширање“ како би открили претходну лозинку, а затим је вратили како би сакрили свој упад. Проблем је у томе што већина мрежа домена не дозвољава поновно коришћење истих лозинки.
Када је Арс Тецхница затражила од Мицрософта коментар, одговор је био једноставан:
Описана техника подразумева да нападач већ има администраторски приступ
Иако на први поглед ово може деловати као једноставан изговор, суштина Мицрософтовог одговора је тачна. Када злонамерни актор оствари приступ мрежи на административном нивоу, потенцијална штета и могућности за напад су знатно веће од обичног трика за ресетовање лозинке. Ако је мрежа довољно добро заштићена да спречи злонамерног актера да уопште дође до административног нивоа, онда је цела ова расправа потпуно ирелевантна.
Дакле, крајњи сценарио је да би нападач морао да стекне администраторски приступ пословној мрежи која користи Виндовс домен, пронађе рачунаре који користе локалне налоге и затим креира безбедносна питања како би могао поново да приступи тим рачунарима у случају да буде откривен и блокиран. И требало би да будемо забринути због тога када им администраторски приступ већ омогућава много већу штету.
Дакле, да ли се ово односи на мене?
Уколико код куће користите Виндовс 10 рачунар, одговор је готово сигурно не. Ево и зашто:
Ваш кућни рачунар највероватније није део домена.
Чак и у том случају, морали бисте да користите локални налог, а већина корисника Виндовс 10 система вероватно користи Мицрософт налог за пријављивање. То је зато што Виндовс 10 захтева коришћење Мицрософт налога за правилно функционисање многих функција. Иако је могуће креирати локални налог уз неколико додатних корака, Мицрософт то не чини најочигледнијим избором. Уколико користите Мицрософт налог, не постоји опција за коришћење питања за ресетовање лозинке.
Да би се овај сценарио искористио, неко би морао да има даљински или физички приступ вашем рачунару. Са тим нивоом приступа, питања за ресетовање лозинке су најмањи проблем.
Дакле, велике су шансе да се ниједно од ових истраживања не односи на вас. Чак и уколико користите локални налог који је повезан са доменом, све се своди на старо питање: колико погодности сте спремни да жртвујете зарад безбедности? С друге стране, колико безбедности сте спремни да жртвујете зарад погодности?
У овом случају, шансе да злонамерни актор приступи вашем рачунару и користи безбедносна питања за преузимање потпуне контроле су изузетно мале. Шансе да заборавите лозинку и затребају вам питања су нешто веће. Процените своју ситуацију и донесите најбољу одлуку за себе.