Pagina inicial » como » Não, você não precisa desativar as perguntas de recuperação de senha no Windows 10

    Não, você não precisa desativar as perguntas de recuperação de senha no Windows 10

    Recentemente, um grupo de pesquisadores descreveu um cenário no qual as perguntas de recuperação de senha eram usadas para invadir os PCs com Windows 10. Isso levou a alguns sugerindo a desativação do recurso. Mas você não precisa fazer isso se for um usuário de computador doméstico.

    Então, o que está acontecendo aqui?

    Como o Ars Technica relatou pela primeira vez, o Windows 10 adicionou a opção de definir perguntas de recuperação de senha em contas locais no ano passado. Os pesquisadores de segurança investigaram isso e descobriram que, em uma rede de negócios, isso poderia levar a vulnerabilidades potenciais.

    Logo de cara, você consegue identificar dois pontos importantes:

    • Primeiro, todo o cenário depende de computadores conectados a uma rede de domínio - o tipo que você encontraria em uma rede comercial com computadores gerenciados.
    • Em segundo lugar, a vulnerabilidade se aplica a contas locais. Isso é particularmente interessante porque, se o seu PC faz parte de um domínio, você está quase certamente usando uma conta de usuário de domínio centralizada e não uma conta local. E questões de segurança não são permitidas em contas de domínio por padrão.

    Há também um terceiro ponto que é ainda mais importante. Tudo isso exige que o ator mal-intencionado obtenha primeiro acesso de nível de administrador na rede. A partir daí, eles poderiam identificar máquinas conectadas à rede que ainda têm contas locais e, em seguida, adicionar questões de segurança a essas contas..

    Porque se importar?

    A ideia é que, se os administradores descobrirem e revogarem o acesso do agente malicioso, alterando posteriormente todas as senhas, o ator poderia, em teoria, voltar à rede para essas máquinas e usar suas perguntas personalizadas para redefinir essas senhas e recuperar o acesso total..

    Os pesquisadores sugeriram que eles também poderiam usar uma ferramenta de hash para determinar a senha anterior e, em seguida, restaurar a senha antiga para ocultar seu acesso. O problema aqui é que a maioria das redes de domínios não permite senhas reutilizadas por padrão.

    Quando a Ars Technica solicitou comentários à Microsoft, a resposta foi curta:

    A técnica descrita requer que um invasor já possua acesso de administrador

    Embora isso possa parecer obtuso a princípio, o que a Microsoft está sugerindo está correto, e nos leva ao ponto crucial da questão. Uma vez que um ator mal-intencionado tenha acesso de nível administrativo em uma rede, o dano potencial e as possibilidades de ataque vão muito além de simples truques de redefinição de senha. E se uma rede for robusta o suficiente para impedir que o ator mal-intencionado ganhe nível administrativo, tudo isso é irrelevante.

    Assim, no final, nosso invasor mal-intencionado precisaria obter acesso em nível de administrador a uma rede comercial que usa um domínio do Windows, localizar computadores que possam ter contas locais neles e criar perguntas de segurança para que eles pudessem voltar àqueles computadores, se forem descobertos e bloqueados. E devemos estar preocupados com isso quando o acesso no nível do administrador lhes permitir fazer muito mais mal.

    Consegui. Então, isso se aplica a mim?

    Se você estiver usando um computador Windows 10 em casa, a resposta curta certamente não será. E aqui está o porquê:

    • O seu PC doméstico provavelmente não está associado a um domínio.
    • Mesmo se fosse, você teria que usar uma conta local e a maioria das pessoas no Windows 10 provavelmente está usando uma conta da Microsoft para entrar. Isso ocorre porque o Windows 10 exige o uso de uma conta da Microsoft para que muitos recursos funcionem corretamente. E, embora você possa adotar algumas etapas adicionais para criar uma conta local, a Microsoft não a torna a opção mais óbvia. Se você estiver usando uma conta da Microsoft, não terá a opção de usar as perguntas de redefinição de senha.
    • Para aproveitar isso, alguém precisaria ter acesso remoto ou físico ao seu PC. E com esse nível de acesso, as perguntas de redefinição de senha são a menor das suas preocupações.

    Então, as chances são muito altas de que nenhuma dessas pesquisas se aplique a você. Mas mesmo se você estiver usando uma conta local associada a um domínio, tudo isso se resume a um antigo conjunto de perguntas. Quanta comodidade você deve desistir em nome da segurança? Por outro lado, quanta segurança você deve desistir em nome da conveniência?

    Nesse caso, as chances de um mau ator acessar sua máquina e usar questões de segurança para obter controle total são incrivelmente remotas. E as chances de esquecer sua senha e precisar das perguntas são um pouco maiores. Faça um balanço da sua situação e faça a melhor escolha para você.