No, non è necessario disabilitare le domande di recupero password su Windows 10
Recentemente un gruppo di ricercatori ha descritto uno scenario in cui le domande di recupero password sono state utilizzate per penetrare nei PC Windows 10. Ciò ha portato a suggerire di disabilitare la funzionalità. Ma non è necessario farlo se sei un utente del computer di casa.
Quindi, cosa sta succedendo qui?
Come ha riferito Ars Technica per la prima volta, Windows 10 ha aggiunto l'opzione per impostare domande di recupero password sugli account locali nell'ultimo anno. I ricercatori di sicurezza hanno approfondito questo problema e hanno scoperto che su una rete aziendale questo potrebbe portare a una potenziale vulnerabilità.
A prima vista, puoi individuare due punti importanti:
- Innanzitutto, l'intero scenario si basa su computer collegati a una rete di dominio, il tipo che si troverà in una rete aziendale con computer gestiti.
- In secondo luogo, la vulnerabilità si applica agli account locali. Questo è particolarmente interessante perché se il tuo PC fa parte di un dominio, stai quasi certamente utilizzando un account utente di dominio centralizzato e non un account locale. E le domande di sicurezza non sono consentite sugli account di dominio per impostazione predefinita.
C'è anche un terzo punto che è ancora più importante. Tutto ciò richiede innanzitutto che l'attore malintenzionato ottenga l'accesso a livello di amministratore sulla rete. Da lì, potrebbero quindi identificare le macchine connesse alla rete che dispongono ancora di account locali e quindi aggiungere domande di sicurezza a tali account.
Perché preoccuparsi?
L'idea è che se gli amministratori scoprono e revocano l'accesso dell'attore malevolo, modificando successivamente tutte le password, l'attore potrebbe, in teoria, rientrare in rete su queste macchine e utilizzare le loro domande personalizzate per reimpostare tali password e recuperare l'accesso completo.
I ricercatori hanno suggerito che potrebbero anche utilizzare uno strumento di hashing per determinare la password precedente e quindi ripristinare la vecchia password per nascondere il loro accesso. Il problema qui è che la maggior parte delle reti di domini non consente le password riutilizzate per impostazione predefinita.
Quando Ars Technica ha chiesto a Microsoft di commentare, la risposta è stata breve:
La tecnica descritta richiede a un utente malintenzionato di possedere già l'accesso come amministratore
Sebbene ciò possa sembrare inizialmente ottuso, ciò che Microsoft sta insinuando è giusto, e ci porta al vero nodo della questione. Una volta che un attore malintenzionato ha accesso a livello amministrativo su una rete, il potenziale danno e le vie di attacco vanno ben oltre i semplici trucchi per la reimpostazione della password. E se una rete è abbastanza robusta da impedire che l'attore malintenzionato acquisisca sempre un livello amministrativo, allora tutto ciò è discutibile.
Quindi, alla fine, il nostro aggressore malintenzionato dovrebbe ottenere l'accesso a livello di amministratore a una rete aziendale che utilizza un dominio Windows, trovare computer che potrebbero avere account locali su di essi e quindi creare domande di sicurezza in modo che possano tornare a quelle computer se vengono scoperti e bloccati. E dovremmo preoccuparci di ciò quando il loro accesso a livello di amministratore dà loro la possibilità di fare già molto più danno.
Fatto. Quindi, questo si applica a me?
Se stai usando un computer Windows 10 a casa, la risposta breve è quasi certamente no. Ed ecco perché:
- Molto probabilmente il tuo PC di casa non è collegato a un dominio.
- Anche se lo fosse, dovresti utilizzare un account locale e la maggior parte delle persone su Windows 10 utilizza probabilmente un account Microsoft per accedere. Questo perché Windows 10 richiede l'utilizzo di un account Microsoft per far funzionare correttamente molte funzionalità. E mentre puoi fare qualche passo in più per creare un account locale, Microsoft non lo rende la scelta più ovvia. Se si utilizza un account Microsoft, non è possibile utilizzare le domande di reimpostazione della password.
- Per approfittare di questo, qualcuno avrebbe bisogno di avere accesso remoto o fisico al PC. E con quel livello di accesso, le domande di reimpostazione della password sono l'ultima delle tue preoccupazioni.
Quindi, è molto probabile che nessuna di queste ricerche ti riguardi. Ma anche se si sta utilizzando un account locale unito a un dominio, tutto questo si riduce a una serie di domande secolari. Quanta convenienza dovresti rinunciare in nome della sicurezza? Al contrario, quanta sicurezza dovresti rinunciare nel nome della convenienza?
In questo caso, le possibilità che un cattivo attore acceda al tuo computer e utilizzino domande di sicurezza per ottenere il pieno controllo sono incredibilmente remote. E le probabilità di dimenticare la tua password e di avere bisogno delle domande sono un po 'più alte. Fai il punto della tua situazione e fai la scelta migliore per te.