Vor kurzem beschrieb eine Gruppe von Forschern ein Szenario, bei dem Fragen zur Passwortwiederherstellung verwendet wurden, um in Windows 10-PCs einzubrechen. Dies hat dazu geführt, dass einige vorgeschlagen haben, die Funktion zu deaktivieren. Dies ist jedoch nicht erforderlich, wenn Sie ein Heimcomputerbenutzer sind.
Also, was ist hier los?
Wie Ars Technica erstmals berichtet, hat Windows 10 im vergangenen Jahr die Option hinzugefügt, Fragen zur Kennwortwiederherstellung für lokale Konten festzulegen. Sicherheitsforscher haben sich damit befasst und festgestellt, dass dies in einem Unternehmensnetzwerk zu potenziellen Schwachstellen führen kann.
Auf Anhieb erkennt man dort zwei wichtige Punkte:
Erstens basiert das gesamte Szenario auf Computern, die mit einem Domänennetzwerk verbunden sind – wie Sie es in einem Unternehmensnetzwerk mit verwalteten Computern finden würden.
Zweitens betrifft die Sicherheitsanfälligkeit lokale Konten. Das ist besonders interessant, denn wenn Ihr PC Teil einer Domäne ist, verwenden Sie mit ziemlicher Sicherheit ein zentralisiertes Domänenbenutzerkonto und kein lokales Konto. Und Sicherheitsfragen sind für Domänenkonten standardmäßig nicht zulässig.
Ein dritter Punkt ist noch wichtiger. All dies erfordert, dass der böswillige Akteur zunächst Zugriff auf Administratorebene auf das Netzwerk erhält. Von dort aus konnten sie mit dem Netzwerk verbundene Maschinen identifizieren, die noch über lokale Konten verfügen, und dann Sicherheitsfragen zu diesen Konten hinzufügen.
Warum die Mühe?
Die Idee ist, dass, wenn Administratoren den Zugriff des böswilligen Akteurs entdecken und widerrufen und anschließend alle Passwörter ändern, der Akteur theoretisch zurück in das Netzwerk zu diesen Maschinen gelangen und seine benutzerdefinierten Fragen verwenden könnte, um diese Passwörter zurückzusetzen und den vollen Zugriff wiederzuerlangen .
Die Forscher schlugen vor, dass sie auch ein Hashing-Tool verwenden könnten, um das vorherige Passwort zu ermitteln und dann das alte Passwort wiederherzustellen, um ihren Zugriff zu verbergen. Das Problem dabei ist, dass die meisten Domänennetzwerke standardmäßig keine wiederverwendeten Passwörter zulassen.
Als Ars Technica Microsoft um einen Kommentar bat, war die Antwort kurz:
Die beschriebene Technik setzt voraus, dass ein Angreifer bereits über Administratorrechte verfügt
Das mag auf den ersten Blick stumpf erscheinen, aber was Microsoft impliziert, ist richtig, und es bringt uns zum eigentlichen Kern der Sache. Sobald ein böswilliger Akteur über Administratorzugriff auf ein Netzwerk verfügt, gehen der potenzielle Schaden und die Angriffsmöglichkeiten weit über einfache Tricks zum Zurücksetzen von Kennwörtern hinaus. Und wenn ein Netzwerk robust genug ist, um zu verhindern, dass der böswillige Akteur jemals die Verwaltungsebene erreicht, dann ist all dies strittig.
Am Ende müsste sich unser böswilliger Angreifer also Zugriff auf Administratorebene auf ein Unternehmensnetzwerk verschaffen, das eine Windows-Domäne verwendet, Computer finden, die möglicherweise lokale Konten haben, und dann Sicherheitsfragen erstellen, damit er wieder auf diese zugreifen kann Computer, wenn sie entdeckt und gesperrt werden. Und wir sollten uns darüber Sorgen machen, wenn ihr Zugriff auf Administratorebene ihnen die Möglichkeit gibt, bereits so viel mehr Schaden anzurichten.
Ich habs. Trifft das also auf mich zu?
Wenn Sie zu Hause einen Windows 10-Computer verwenden, lautet die kurze Antwort mit ziemlicher Sicherheit nicht. Und hier ist der Grund:
Ihr Heim-PC ist höchstwahrscheinlich keiner Domäne beigetreten.
Selbst wenn dies der Fall wäre, müssten Sie ein lokales Konto verwenden, und die meisten Benutzer unter Windows 10 verwenden wahrscheinlich ein Microsoft-Konto, um sich anzumelden. Dies liegt daran, dass Windows 10 die Verwendung eines Microsoft-Kontos erfordert, damit viele Funktionen ordnungsgemäß funktionieren. Und obwohl Sie stattdessen ein paar zusätzliche Schritte unternehmen können, um ein lokales Konto zu erstellen, macht Microsoft dies nicht zur naheliegendsten Wahl. Wenn Sie ein Microsoft-Konto verwenden, haben Sie nicht die Möglichkeit, Fragen zum Zurücksetzen des Kennworts zu verwenden.
Um dies zu nutzen, muss jemand entweder Remote- oder physischen Zugriff auf Ihren PC haben. Und mit dieser Zugriffsebene sind Fragen zum Zurücksetzen des Passworts die geringste Ihrer Sorgen.
Die Chancen stehen also sehr gut, dass keine dieser Untersuchungen auf Sie zutrifft. Aber selbst wenn Sie ein lokales Konto verwenden, das mit einer Domäne verbunden ist, läuft dies alles auf eine uralte Reihe von Fragen hinaus. Auf wie viel Komfort sollten Sie im Namen der Sicherheit verzichten? Umgekehrt, auf wie viel Sicherheit sollten Sie im Namen der Bequemlichkeit verzichten?
In diesem Fall sind die Chancen, dass ein böser Akteur auf Ihren Computer zugreift und Sicherheitsfragen verwendet, um die volle Kontrolle zu erlangen, unglaublich gering. Und die Wahrscheinlichkeit, dass Sie Ihr Passwort vergessen und die Fragen benötigen, ist etwas höher. Machen Sie eine Bestandsaufnahme Ihrer Situation und treffen Sie die für Sie beste Wahl.