Nee, u hoeft geen vragen over wachtwoordherstel uit te schakelen in Windows 10
Onlangs beschreef een groep onderzoekers een scenario waarin vragen over wachtwoordherstel werden gebruikt om in te breken op Windows 10-pc's. Dit heeft geleid tot een suggestie om de functie uit te schakelen. Maar u hoeft dit niet te doen als u een thuiscomputergebruiker bent.
Dus wat gaat hier verder?
Zoals Ars Technica voor het eerst meldde, heeft Windows 10 de optie toegevoegd om wachtwoordherstelvragen in te stellen op lokale accounts in het afgelopen jaar. Beveiligingsonderzoekers verdiepten zich hierin en ontdekten dat dit op een zakelijk netwerk tot potentiële kwetsbaarheid kan leiden.
Je ziet meteen twee belangrijke punten daar:
- Ten eerste is het hele scenario afhankelijk van computers die zijn gekoppeld aan een domeinnetwerk, zoals u dat zou vinden op een bedrijfsnetwerk met beheerde computers.
- Ten tweede is de kwetsbaarheid van toepassing op lokale accounts. Dat is met name interessant, want als uw pc deel uitmaakt van een domein, gebruikt u vrijwel zeker een gecentraliseerde domeingebruikersaccount en geen lokaal account. En beveiligingsvragen zijn standaard niet toegestaan op domeinaccounts.
Er is ook nog een derde punt dat nog belangrijker is. Dit alles vereist dat de kwaadwillende acteur eerst toegang op beheerdersniveau krijgt op het netwerk. Van daaruit kunnen ze vervolgens machines identificeren die op het netwerk zijn aangesloten en nog lokale accounts hebben en vervolgens beveiligingsvragen aan die accounts toevoegen.
Waarom zou je je drukmaken?
Het idee is dat als beheerders de toegang van de kwaadwillende acteur ontdekken en intrekken en vervolgens alle wachtwoorden wijzigen, de actor in theorie weer naar het netwerk kan terugkeren naar deze machines en hun eigen vragen kan gebruiken om die wachtwoorden opnieuw in te stellen en volledige toegang te krijgen..
De onderzoekers stelden voor dat ze ook een hashing-tool konden gebruiken om het vorige wachtwoord te bepalen en vervolgens het oude wachtwoord te herstellen om hun toegang te verbergen. Het probleem hier is dat de meeste domeinennetwerken standaard geen hergebruikte wachtwoorden toestaan.
Toen Ars Technica Microsoft om commentaar vroeg, was de reactie kort:
De beschreven techniek vereist dat een aanvaller al beheerderstoegang heeft
Hoewel dat in het begin misschien wat stom lijkt, heeft Microsoft gelijk als het gaat en het brengt ons tot de kern van de zaak. Zodra een kwaadwillende acteur op beheerdersniveau toegang heeft tot een netwerk, gaan de potentiële schade en aanvalsmogelijkheden veel verder dan eenvoudige trucs voor het opnieuw instellen van het wachtwoord. En als een netwerk robuust genoeg is om te voorkomen dat de kwaadwillende acteur ooit op bestuursniveau komt, dan is dit allemaal onzin.
Uiteindelijk zou onze kwaadwillende aanvaller toegang op beheerdersniveau moeten krijgen tot een bedrijfsnetwerk dat een Windows-domein gebruikt, computers met mogelijk lokale accounts moet vinden en vervolgens beveiligingsvragen moet stellen zodat deze weer toegang krijgen tot die vragen computers als ze worden ontdekt en uitgesloten. En we zouden ons daar zorgen over moeten maken als hun toegang op beheerdersniveau hen de mogelijkheid biedt om al zoveel meer schade aan te richten.
Begrepen. Dus, is dit van toepassing op mij?
Als u thuis een Windows 10-computer gebruikt, is het korte antwoord bijna zeker niet. En hier is waarom:
- Uw thuis-pc is waarschijnlijk niet lid van een domein.
- Zelfs als dat het geval was, zou je een lokaal account moeten gebruiken en de meeste mensen op Windows 10 gebruiken waarschijnlijk een Microsoft-account om in te loggen. Dit komt omdat Windows 10 vereist dat het gebruik van een Microsoft-account voor veel functies correct werkt. En hoewel u in plaats daarvan een paar extra stappen kunt nemen om een lokaal account te maken, maakt Microsoft het niet de meest voor de hand liggende keuze. Als u een Microsoft-account gebruikt, hebt u niet de mogelijkheid om vragen voor wachtwoordherstel te gebruiken.
- Om hiervan te profiteren, moet iemand externe of fysieke toegang tot uw pc hebben. En met dat toegangsniveau zijn vragen over wachtwoordherstel de minste zorgen.
De kansen zijn dus erg hoog dat geen enkel onderzoek op jou van toepassing is. Maar zelfs als u een lokaal account gebruikt dat is gekoppeld aan een domein, komt dit allemaal neer op een eeuwenoude reeks vragen. Hoeveel gemak moet je opgeven in naam van de veiligheid? Omgekeerd, hoeveel beveiliging moet je opgeven in naam van het gemak?
In dit geval zijn de kansen dat een slechte acteur toegang krijgt tot uw machine en beveiligingsvragen gebruiken om volledige controle te krijgen ongelooflijk ongelimiteerd. En de kans dat je je wachtwoord vergeet en de vragen nodig hebt, ligt iets hoger. Neem de balans op van uw situatie en maak de beste keuze voor u.