Nein, Sie müssen die Fragen zur Passwortwiederherstellung unter Windows 10 nicht deaktivieren

Nein, Sie müssen die Fragen zur Passwortwiederherstellung unter Windows 10 nicht deaktivieren

No You Don T Need Disable Password Recovery Questions Windows 10

Vor kurzem beschrieb eine Gruppe von Forschern ein Szenario, bei dem Fragen zur Passwortwiederherstellung verwendet wurden, um in Windows 10-PCs einzubrechen. Dies hat dazu geführt, dass einige vorgeschlagen haben, die Funktion zu deaktivieren. Aber Sie müssen dies nicht tun, wenn Sie ein Heimcomputerbenutzer sind.



vlc media player zu chromecast

Also, was ist hier los?

Wie Ars Technica erstmals berichtet, hat Windows 10 im vergangenen Jahr die Option hinzugefügt, Fragen zur Kennwortwiederherstellung für lokale Konten festzulegen. Sicherheitsforscher haben sich damit befasst und festgestellt, dass dies in einem Unternehmensnetzwerk zu potenziellen Schwachstellen führen kann.

Auf Anhieb erkennt man dort zwei wichtige Punkte:

  • Erstens basiert das gesamte Szenario auf Computern, die mit einem Domänennetzwerk verbunden sind – der Art, die Sie in einem Unternehmensnetzwerk mit verwalteten Computern finden würden.
  • Zweitens betrifft die Sicherheitsanfälligkeit lokale Konten. Das ist besonders interessant, denn wenn Ihr PC Teil einer Domäne ist, verwenden Sie mit ziemlicher Sicherheit ein zentralisiertes Domänenbenutzerkonto und kein lokales Konto. Und Sicherheitsfragen sind für Domänenkonten standardmäßig nicht zulässig.

Es gibt noch einen dritten Punkt, der noch wichtiger ist. All dies erfordert, dass der böswillige Akteur zunächst Zugriff auf Administratorebene auf das Netzwerk erhält. Von dort aus konnten sie mit dem Netzwerk verbundene Maschinen identifizieren, die noch über lokale Konten verfügen, und dann Sicherheitsfragen zu diesen Konten hinzufügen.

Warum die Mühe?

So sperren Sie den Apple-Computer

Die Idee ist, dass, wenn Administratoren den Zugriff des böswilligen Akteurs entdecken und widerrufen und anschließend alle Passwörter ändern, der Akteur theoretisch zurück in das Netzwerk zu diesen Maschinen gelangen und seine benutzerdefinierten Fragen verwenden könnte, um diese Passwörter zurückzusetzen und den vollen Zugriff wiederzuerlangen .

Anzeige

Die Forscher schlugen vor, dass sie auch ein Hashing-Tool verwenden könnten, um das vorherige Passwort zu ermitteln und dann das alte Passwort wiederherzustellen, um ihren Zugriff zu verbergen. Das Problem dabei ist, dass die meisten Domänennetzwerke standardmäßig keine wiederverwendeten Passwörter zulassen.

Als Ars Technica Microsoft um einen Kommentar bat, war die Antwort kurz:

Die beschriebene Technik setzt voraus, dass ein Angreifer bereits über Administratorrechte verfügt

Das mag auf den ersten Blick stumpf erscheinen, aber was Microsoft impliziert, ist richtig, und es bringt uns zum eigentlichen Kern der Sache. Sobald ein böswilliger Akteur über Administratorzugriff auf ein Netzwerk verfügt, gehen der potenzielle Schaden und die Angriffsmöglichkeiten weit über einfache Tricks zum Zurücksetzen von Kennwörtern hinaus. Und wenn ein Netzwerk robust genug ist, um zu verhindern, dass der böswillige Akteur jemals die Verwaltungsebene erreicht, dann ist all dies strittig.

Google Play-Apps auf Kindle

Am Ende müsste sich unser böswilliger Angreifer also Zugriff auf Administratorebene auf ein Unternehmensnetzwerk verschaffen, das eine Windows-Domäne verwendet, Computer finden, die möglicherweise lokale Konten haben, und dann Sicherheitsfragen erstellen, damit er wieder auf diese zugreifen kann Computer, wenn sie entdeckt und gesperrt werden. Und wir sollten uns darüber Sorgen machen, wenn ihr Zugriff auf Administratorebene ihnen die Möglichkeit gibt, bereits so viel mehr Schaden anzurichten.

Verstanden. Trifft das also auf mich zu?

Wenn Sie zu Hause einen Windows 10-Computer verwenden, lautet die kurze Antwort mit ziemlicher Sicherheit nicht. Und hier ist der Grund:

  • Ihr Heim-PC ist höchstwahrscheinlich keiner Domäne beigetreten.
  • Selbst wenn dies der Fall wäre, müssten Sie ein lokales Konto verwenden und die meisten Benutzer unter Windows 10 verwenden wahrscheinlich ein Microsoft-Konto, um sich anzumelden. Dies liegt daran, dass Windows 10 für viele Funktionen die Verwendung eines Microsoft-Kontos erfordert richtig funktionieren . Und während Sie ein paar zusätzliche Schritte unternehmen können, um ein lokales Konto Stattdessen macht Microsoft es nicht zur offensichtlichsten Wahl. Wenn Sie ein Microsoft-Konto verwenden, haben Sie nicht die Möglichkeit, Fragen zum Zurücksetzen des Kennworts zu verwenden.
  • Um dies zu nutzen, muss jemand entweder Remote- oder physischen Zugriff auf Ihren PC haben. Und mit dieser Zugriffsebene sind Fragen zum Zurücksetzen des Passworts die geringste Ihrer Sorgen.

Die Chancen stehen also sehr gut, dass keine dieser Untersuchungen auf Sie zutrifft. Aber selbst wenn Sie ein lokales Konto verwenden, das mit einer Domäne verbunden ist, läuft dies alles auf eine uralte Reihe von Fragen hinaus. Auf wie viel Komfort sollten Sie im Namen der Sicherheit verzichten? Umgekehrt, auf wie viel Sicherheit sollten Sie im Namen der Bequemlichkeit verzichten?

Anzeige

In diesem Fall sind die Chancen, dass ein böser Akteur auf Ihren Computer zugreift und Sicherheitsfragen verwendet, um die volle Kontrolle zu erlangen, unglaublich gering. Und die Wahrscheinlichkeit, dass Sie Ihr Passwort vergessen und die Fragen benötigen, ist etwas höher. Machen Sie eine Bestandsaufnahme Ihrer Situation und treffen Sie die für Sie beste Wahl.

WEITER LESEN
  • & rsaquo; Cyber ​​Monday 2021: Die besten Tech-Deals
  • › So finden Sie Ihr Spotify Wrapped 2021
  • › Funktionen vs. Formeln in Microsoft Excel: Was ist der Unterschied?
  • › Was ist MIL-SPEC Fallschutz?
  • › 5 Websites, die jeder Linux-Benutzer mit einem Lesezeichen versehen sollte
  • › Der Computerordner ist 40: Wie Xerox Star den Desktop erstellte
Profilfoto von Josh Hendrickson Josh Hendrickson
Josh Hendrickson ist der Chefredakteur von Review Geek. Er arbeitet seit fast einem Jahrzehnt in der IT, davon vier Jahre lang mit der Reparatur und Wartung von Computern für Microsoft. Er ist auch ein Smarthome-Enthusiast, der seinen eigenen intelligenten Spiegel mit nur einem Rahmen, etwas Elektronik, einem Raspberry Pi und Open-Source-Code gebaut hat.
Vollständige Biografie lesen