Недавно је група истраживача описала сценарио у којем су питања за опоравак лозинке коришћена за провалу у Виндовс 10 рачунаре. То је довело до тога да су неки предложили онемогућавање ове функције. Али не морате то да радите ако сте корисник кућног рачунара.
Па, шта се овде дешава?
Као што Арс Тецхница Први пут објављено, Виндовс 10 је додао опцију за постављање питања за опоравак лозинке на локалним налозима у прошлој години. Истраживачи безбедности су се удубили у ово и открили да на пословној мрежи то може довести до потенцијалне рањивости.
Одмах на почетку можете уочити две важне тачке:
Прво, цео сценарио се ослања на рачунаре спојене на мрежу домена — ону врсту коју бисте нашли на пословној мрежи са управљаним рачунарима.
Друго, рањивост се односи на локалне налоге. То је посебно интересантно јер ако је ваш рачунар део домена, скоро сигурно користите кориснички налог централизованог домена, а не локални налог. Сигурносна питања нису подразумевано дозвољена на налозима домена.
Постоји и трећа тачка која је још важнија. Све ово захтева да злонамерни актер прво добије приступ на нивоу администратора на мрежи. Одатле би могли да идентификују машине повезане на мрежу које још увек имају локалне налоге и да додају безбедносна питања тим налозима.
Зашто гњавити?
Идеја је да ако администратори открију и опозову приступ злонамерном актеру, накнадно мењајући све лозинке, актер би, теоретски, могао да се врати у мрежу до ових машина и користи своја прилагођена питања да ресетује те лозинке и поново добије пун приступ .
Истраживачи су предложили да би такође могли да користе алат за хеширање да би одредили претходну лозинку, а затим да врате стару лозинку да би сакрили свој приступ. Проблем је у томе што већина мрежа домена подразумевано не дозвољава поновну употребу лозинки.
Када је Арс Тецхница затражила од Мицрософта коментар, одговор је био кратак:
Описана техника захтева да нападач већ поседује администраторски приступ
Иако би то у почетку могло изгледати глупо, оно што Мицрософт имплицира је тачно и доводи нас до праве суштине ствари. Једном када злонамерни актер има приступ мрежи на административном нивоу, потенцијална штета и начини напада превазилазе једноставне трикове за ресетовање лозинке. А ако је мрежа довољно робусна да спречи злонамерног актера да икада добије административни ниво, онда је све ово бесмислено.
Дакле, на крају, наш злонамерни нападач би морао да добије приступ на нивоу администратора пословној мрежи која користи Виндовс домен, пронађе рачунаре који можда имају локалне налоге на себи, а затим креира безбедносна питања како би могли да се врате у њих. рачунаре ако су откривени и закључани. И требало би да будемо забринути због тога када им њихов приступ на нивоу администратора даје могућност да већ направе много више штете.
Разумем. Дакле, да ли се ово односи на мене?
Ако код куће користите рачунар са оперативним системом Виндовс 10, кратак одговор је готово сигурно не. А ево и зашто:
Ваш кућни рачунар највероватније није повезан са доменом.
Чак и да јесте, морали бисте да користите локални налог, а већина људи који користе Виндовс 10 вероватно користи Мицрософт налог за пријављивање. То је зато што Виндовс 10 захтева коришћење Мицрософт налога да би многе функције исправно функционисале. И док уместо тога можете предузети неколико додатних корака да бисте креирали локални налог, Мицрософт то не чини најочигледнијим избором. Ако користите Мицрософт налог, онда немате опцију да користите питања за ресетовање лозинке.
Да би ово искористио, неко би морао да има даљински или физички приступ вашем рачунару. А са тим нивоом приступа, питања за ресетовање лозинке су најмања брига.
Дакле, велике су шансе да се ниједно од ових истраживања не односи на вас. Али чак и ако користите локални налог који је повезан са доменом, све ово се своди на прастари скуп питања. Колико погодности треба да се одрекнете у име безбедности? Насупрот томе, колико сигурности треба да се одрекнете у име погодности?
У овом случају, шансе да лош актер приступи вашој машини и користи безбедносна питања за потпуну контролу су невероватно мале. А шансе да заборавите лозинку и да вам затребају питања су мало веће. Прегледајте своју ситуацију и направите најбољи избор за вас.