Trang chủ » làm thế nào để » Không, bạn không cần phải vô hiệu hóa câu hỏi khôi phục mật khẩu trên Windows 10

    Không, bạn không cần phải vô hiệu hóa câu hỏi khôi phục mật khẩu trên Windows 10

    Gần đây, một nhóm các nhà nghiên cứu đã mô tả một kịch bản trong đó các câu hỏi khôi phục mật khẩu đã được sử dụng để đột nhập vào PC Windows 10. Điều này đã dẫn đến một số gợi ý vô hiệu hóa tính năng này. Nhưng bạn không cần phải làm điều này nếu bạn là người dùng máy tính tại nhà.

    Vì vậy, những gì đang xảy ra ở đây?

    Như Ars Technica đã báo cáo lần đầu tiên, Windows 10 đã thêm tùy chọn đặt câu hỏi khôi phục mật khẩu trên tài khoản cục bộ trong năm qua. Các nhà nghiên cứu bảo mật đào sâu vào vấn đề này và phát hiện ra rằng trên mạng kinh doanh, điều này có thể dẫn đến lỗ hổng tiềm năng.

    Ngay lập tức, bạn có thể nhận ra hai điểm quan trọng ở đó:

    • Đầu tiên, toàn bộ kịch bản dựa trên các máy tính được kết nối với mạng miền - loại bạn tìm thấy trên mạng doanh nghiệp có máy tính được quản lý.
    • Thứ hai, lỗ hổng áp dụng cho các tài khoản địa phương. Điều đó đặc biệt thú vị bởi vì nếu PC của bạn là một phần của tên miền, bạn gần như chắc chắn sử dụng tài khoản người dùng miền tập trung chứ không phải tài khoản cục bộ. Và các câu hỏi bảo mật không được phép trên các tài khoản miền theo mặc định.

    Ngoài ra còn có một điểm thứ ba thậm chí còn quan trọng hơn. Tất cả điều này đòi hỏi diễn viên độc hại trước tiên phải có quyền truy cập cấp quản trị viên trên mạng. Từ đó, họ có thể xác định các máy được kết nối với mạng vẫn có tài khoản cục bộ và sau đó thêm câu hỏi bảo mật vào các tài khoản đó.

    Quan tâm làm gì?

    Ý tưởng là nếu quản trị viên phát hiện và thu hồi quyền truy cập của diễn viên độc hại, sau đó thay đổi tất cả mật khẩu, theo lý thuyết, diễn viên có thể quay lại mạng với các máy này và sử dụng câu hỏi tùy chỉnh của họ để đặt lại mật khẩu đó và lấy lại toàn bộ quyền truy cập.

    Các nhà nghiên cứu đề nghị họ cũng có thể sử dụng một công cụ băm để xác định mật khẩu trước đó, sau đó khôi phục mật khẩu cũ để ẩn quyền truy cập của họ. Vấn đề ở đây là hầu hết các mạng miền không cho phép sử dụng lại mật khẩu theo mặc định.

    Khi Ars Technica yêu cầu Microsoft cho ý kiến, câu trả lời ngắn gọn:

    Kỹ thuật được mô tả yêu cầu kẻ tấn công sở hữu quyền truy cập quản trị viên

    Mặc dù điều đó có vẻ khó hiểu lúc đầu, nhưng những gì Microsoft ngụ ý là đúng và nó đưa chúng ta đến mấu chốt thực sự của vấn đề. Khi một tác nhân độc hại có quyền truy cập cấp quản trị trên mạng, thiệt hại tiềm ẩn và con đường tấn công vượt xa các thủ thuật đặt lại mật khẩu đơn giản. Và nếu một mạng đủ mạnh để ngăn chặn tác nhân độc hại đạt được cấp độ hành chính, thì tất cả điều này chỉ là tranh luận.

    Vì vậy, cuối cùng, kẻ tấn công độc hại của chúng tôi sẽ cần có quyền truy cập cấp quản trị viên vào mạng doanh nghiệp sử dụng miền Windows, tìm máy tính có thể có tài khoản cục bộ trên đó và sau đó tạo câu hỏi bảo mật để họ có thể quay lại những câu hỏi đó máy tính nếu chúng được phát hiện và khóa. Và chúng tôi phải lo lắng về điều đó khi quyền truy cập cấp quản trị viên cung cấp cho họ khả năng gây hại nhiều hơn nữa.

    Hiểu rồi. Vì vậy, điều này áp dụng cho tôi?

    Nếu bạn đang sử dụng máy tính Windows 10 ở nhà, câu trả lời ngắn gọn gần như chắc chắn là không. Và đây là lý do:

    • PC tại nhà của bạn rất có thể không tham gia vào một miền.
    • Ngay cả khi đó là, bạn phải sử dụng tài khoản cục bộ và hầu hết mọi người trên Windows 10 có thể đang sử dụng tài khoản Microsoft để đăng nhập. Điều này là do Windows 10 yêu cầu sử dụng Tài khoản Microsoft để nhiều tính năng hoạt động chính xác. Và mặc dù bạn có thể thực hiện thêm một số bước để tạo tài khoản cục bộ thay vào đó, Microsoft không biến nó thành lựa chọn rõ ràng nhất. Nếu bạn đang sử dụng Tài khoản Microsoft, thì bạn không có tùy chọn sử dụng câu hỏi đặt lại mật khẩu.
    • Để tận dụng lợi thế này, ai đó sẽ cần có quyền truy cập từ xa hoặc vật lý vào PC của bạn. Và với mức độ truy cập đó, các câu hỏi đặt lại mật khẩu là điều bạn lo lắng nhất.

    Vì vậy, cơ hội rất cao mà không có nghiên cứu nào áp dụng cho bạn. Nhưng ngay cả khi bạn đang sử dụng một tài khoản cục bộ được gia nhập vào một tên miền, tất cả những điều này đều dẫn đến một bộ câu hỏi lâu đời. Bao nhiêu thuận tiện bạn nên từ bỏ trong tên của bảo mật? Ngược lại, bạn nên từ bỏ bao nhiêu bảo mật để nhân danh sự tiện lợi?

    Trong trường hợp này, khả năng diễn viên xấu truy cập vào máy của bạn và sử dụng các câu hỏi bảo mật để có toàn quyền kiểm soát là vô cùng xa vời. Và cơ hội quên mật khẩu của bạn và cần các câu hỏi cao hơn một chút. Kiểm soát tình hình của bạn và đưa ra lựa chọn tốt nhất cho bạn.