Nein, Sie müssen die Kennwortwiederherstellungsfragen unter Windows 10 nicht deaktivieren
Vor kurzem hat eine Gruppe von Forschern ein Szenario beschrieben, bei dem Fragen zur Kennwortwiederherstellung zum Einbruch in Windows 10-PCs verwendet wurden. Dies hat dazu geführt, dass einige vorgeschlagen haben, die Funktion zu deaktivieren. Wenn Sie ein Heimcomputer sind, müssen Sie dies jedoch nicht tun.
Also, was hier los ist?
Wie Ars Technica zum ersten Mal berichtete, hat Windows 10 im letzten Jahr die Option hinzugefügt, Fragen zur Kennwortwiederherstellung für lokale Konten festzulegen. Sicherheitsforscher haben sich eingehend damit befasst und festgestellt, dass dies in einem Unternehmensnetzwerk zu einer potenziellen Anfälligkeit führen kann.
Gleich darauf können Sie zwei wichtige Punkte erkennen:
- Erstens hängt das gesamte Szenario von Computern ab, die einem Domänennetzwerk angehören - der Art, die Sie in einem Unternehmensnetzwerk mit verwalteten Computern finden würden.
- Zweitens betrifft die Sicherheitsanfälligkeit lokale Konten. Das ist besonders interessant, denn wenn Ihr PC Teil einer Domäne ist, verwenden Sie höchstwahrscheinlich ein zentralisiertes Domänenbenutzerkonto und kein lokales Konto. Sicherheitsfragen sind standardmäßig für Domänenkonten nicht zulässig.
Es gibt noch einen dritten Punkt, der noch wichtiger ist. All dies setzt voraus, dass der böswillige Akteur auf Administratorebene Zugriff auf das Netzwerk erhält. Von dort aus könnten sie dann die mit dem Netzwerk verbundenen Maschinen identifizieren, die noch über lokale Konten verfügen, und dann den Konten Sicherheitsfragen hinzufügen.
Warum die Mühe?
Die Idee ist, dass, wenn Administratoren den Zugriff des böswilligen Akteurs entdecken und widerrufen und anschließend alle Kennwörter ändern, der Akteur theoretisch den Weg zurück ins Netzwerk zu diesen Computern finden und diese benutzerdefinierten Fragen verwenden kann, um diese Kennwörter zurückzusetzen und den vollständigen Zugriff wiederzugewinnen.
Die Forscher schlugen vor, sie könnten auch ein Hash-Tool verwenden, um das vorherige Passwort zu ermitteln, und dann das alte Passwort wiederherstellen, um ihren Zugriff zu verbergen. Das Problem hierbei ist, dass die meisten Domänennetzwerke standardmäßig wiederverwendete Kennwörter nicht zulassen.
Als Ars Technica Microsoft um einen Kommentar bat, war die Antwort kurz:
Die beschriebene Technik erfordert, dass ein Angreifer bereits über Administratorzugriff verfügt
Das mag auf den ersten Blick stumpf erscheinen, was Microsoft impliziert, ist jedoch richtig und bringt uns zum Kern der Sache. Sobald ein böswilliger Akteur über Administratorzugriff in einem Netzwerk verfügt, gehen potenzielle Schäden und Angriffswege weit über einfache Tricks zum Zurücksetzen von Kennwörtern hinaus. Und wenn ein Netzwerk robust genug ist, um zu verhindern, dass der böswillige Akteur sich auf administrativer Ebene befindet, ist dies alles eine Frage.
Am Ende müsste unser Angreifer auf Administratorebene Zugriff auf ein Unternehmensnetzwerk erhalten, das eine Windows-Domäne verwendet, nach Computern suchen, die möglicherweise über lokale Konten verfügen, und dann Sicherheitsfragen erstellen, damit diese wieder darauf zugreifen können Computer, wenn sie entdeckt und gesperrt werden. Und wir sollten uns Sorgen machen, wenn ihr Administratorzugriff ihnen die Möglichkeit gibt, bereits so viel mehr Schaden anrichten zu können.
Ich habs. Trifft dies auf mich zu??
Wenn Sie zu Hause einen Windows-10-Computer verwenden, ist die kurze Antwort fast sicher keine. Und hier ist warum:
- Ihr Heim-PC ist höchstwahrscheinlich keiner Domäne beigetreten.
- Selbst wenn dies der Fall wäre, müssten Sie ein lokales Konto verwenden, und die meisten Benutzer von Windows 10 verwenden wahrscheinlich ein Microsoft-Konto, um sich anzumelden. Dies liegt daran, dass Windows 10 die Verwendung eines Microsoft-Kontos erfordert, damit viele Funktionen ordnungsgemäß funktionieren. Sie können zwar ein paar zusätzliche Schritte ausführen, um ein lokales Konto zu erstellen, aber Microsoft macht es nicht zur naheliegendsten Wahl. Wenn Sie ein Microsoft-Konto verwenden, können Sie keine Fragen zum Zurücksetzen von Kennwörtern verwenden.
- Um dies zu nutzen, muss jemand über einen Remote- oder physischen Zugriff auf Ihren PC verfügen. Und mit dieser Zugriffsstufe sind Fragen zum Zurücksetzen von Kennwörtern die geringsten Sorgen.
Daher sind die Chancen sehr groß, dass keine dieser Untersuchungen auf Sie zutrifft. Aber auch wenn Sie ein lokales Konto verwenden, das einer Domäne angehört, haben all dies alte Fragen. Wie viel Komfort sollten Sie im Namen der Sicherheit aufgeben? Umgekehrt, wie viel Sicherheit sollten Sie im Namen der Bequemlichkeit aufgeben?
In diesem Fall sind die Chancen, dass ein schlechter Schauspieler auf Ihren Computer zugreift und Sicherheitsfragen verwendet, um die vollständige Kontrolle zu erhalten, unglaublich gering. Die Chancen, Ihr Passwort zu vergessen und die Fragen zu benötigen, sind etwas höher. Machen Sie eine Bestandsaufnahme Ihrer Situation und treffen Sie die beste Wahl für Sie.