Header Ads

Home / Microsoft / Notícias / Segurança / windows / Não, você não precisa desativar as perguntas de recuperação de senha no Windows 10

Não, você não precisa desativar as perguntas de recuperação de senha no Windows 10

segunda-feira, dezembro 17, 2018 , , ,

Recentemente, um grupo de pesquisadores descreveu um cenário em que perguntas de recuperação de senha eram usadas para invadir computadores com o Windows 10. Isso levou a alguns sugerindo a desativação do recurso. Mas você não precisa fazer isso se for um usuário de computador doméstico.

Então, o que está acontecendo aqui?

Como o Ars Technica relatou pela primeira vez, o Windows 10 adicionou a opção de definir perguntas de recuperação de senha em contas locais no ano passado. Os pesquisadores de segurança investigaram isso e descobriram que, em uma rede de negócios, isso poderia levar a uma vulnerabilidade em potencial.

Logo de cara, é possível identificar dois pontos importantes:

  • Primeiro , todo o cenário depende de computadores conectados a uma rede de domínio - o tipo que você encontraria em uma rede comercial com computadores gerenciados.
  • Em segundo lugar, a vulnerabilidade se aplica a contas locais. Isso é particularmente interessante porque, se o seu computador faz parte de um domínio, você está quase certamente usando uma conta de usuário de domínio centralizada e não uma conta local. E questões de segurança não são permitidas em contas de domínio por padrão.

Há também um terceiro ponto ainda mais importante. Tudo isso exige que o ator mal-intencionado primeiro obtenha acesso em nível de administrador na rede. A partir daí, eles poderiam identificar máquinas conectadas à rede que ainda têm contas locais e adicionar questões de segurança a essas contas.

Por que incomodar?

A ideia é que, se os administradores descobrirem e revogar o acesso do agente malicioso, alterando posteriormente todas as senhas, o ator poderia, em teoria, voltar à rede para essas máquinas e usar suas perguntas personalizadas para redefinir essas senhas e recuperar o acesso total.

Quando a Ars Technica pediu à Microsoft para comentar, a resposta foi curta:

A técnica descrita exige que um invasor já possua acesso de administrador

Embora isso possa parecer obtuso no início, o que a Microsoft está sugerindo está correto, e isso nos leva ao ponto crucial da questão. Uma vez que um ator mal-intencionado tenha acesso em nível administrativo em uma rede, os possíveis danos e as possibilidades de ataque vão muito além de simples truques de redefinição de senha. E se uma rede for robusta o suficiente para impedir que o ator mal-intencionado ganhe nível administrativo, tudo isso é discutível.

Assim, no final, nosso invasor mal-intencionado precisaria obter acesso em nível de administrador para uma rede comercial que usa um domínio do Windows, encontre computadores que possam ter contas locais neles e, em seguida, crie perguntas de segurança para que eles possam voltar a esses computadores se forem descobertos e bloqueados. E devemos estar preocupados com isso quando o acesso no nível de administrador permitir que eles causem muito mais danos.

Entendi. Então, isso se aplica a mim?

Se você estiver usando um computador Windows 10 em casa, a resposta curta certamente não será. E aqui está o porquê:

  • Seu PC em casa provavelmente não está associado a um domínio.
  • Mesmo que fosse, você teria que usar uma conta local e a maioria As pessoas no Windows 10 provavelmente estão usando uma conta da Microsoft para entrar. Isso ocorre porque o Windows 10 exige o uso de uma conta da Microsoft para que muitos recursos funcionem corretamente. E embora você possa tomar algumas medidas extras para criar uma conta local, a Microsoft não a torna a opção mais óbvia. Se você estiver usando uma conta da Microsoft, não terá a opção de usar as perguntas de redefinição de senha.
  • Para aproveitar isso, alguém precisa ter acesso remoto ou físico ao seu computador. E com esse nível de acesso, as perguntas de redefinição de senha são a menor das suas preocupações.

Portanto, as chances são muito altas de que nenhuma dessas pesquisas se aplique a você. Mas mesmo se você estiver usando uma conta local associada a um domínio, tudo isso se resume a um antigo conjunto de perguntas. Quanta comodidade você deve desistir em nome da segurança? Por outro lado, quanta segurança você deve desistir em nome da conveniência?

Nesse caso, as chances de um mau ator acessar sua máquina e usar questões de segurança para obter controle total são incrivelmente remotas. E as chances de esquecer sua senha e precisar das perguntas são um pouco maiores. Faça um balanço da sua situação e faça a melhor escolha para você.

Via: How to Geek

Nenhum comentário

Assinar: Postar comentários ( Atom )