Tidak, Anda Tidak Perlu Menonaktifkan Pertanyaan Pemulihan Kata Sandi pada Windows 10
Baru-baru ini sekelompok peneliti menggambarkan sebuah skenario di mana pertanyaan pemulihan kata sandi digunakan untuk masuk ke PC Windows 10. Ini menyebabkan beberapa saran menyarankan untuk menonaktifkan fitur. Tetapi Anda tidak perlu melakukan ini jika Anda adalah pengguna komputer rumahan.
Jadi, Apa yang Terjadi di Sini?
Seperti yang dilaporkan Ars Technica pertama kali, Windows 10 telah menambahkan opsi untuk mengatur pertanyaan pemulihan kata sandi pada akun lokal dalam setahun terakhir. Peneliti keamanan menyelidiki ini dan menemukan bahwa pada jaringan bisnis ini dapat menyebabkan potensi kerentanan.
Langsung saja, Anda dapat menemukan dua poin penting di sana:
- Pertama, seluruh skenario bergantung pada komputer yang bergabung ke jaringan domain - jenis yang Anda temukan di jaringan bisnis dengan komputer yang dikelola.
- Kedua, kerentanan berlaku untuk akun lokal. Itu sangat menarik karena jika PC Anda adalah bagian dari domain, Anda hampir pasti menggunakan akun pengguna domain terpusat dan bukan akun lokal. Dan pertanyaan keamanan tidak diizinkan pada akun domain secara default.
Ada juga poin ketiga yang bahkan lebih penting. Semua ini membutuhkan aktor jahat terlebih dahulu untuk mendapatkan akses tingkat administrator di jaringan. Dari sana, mereka kemudian dapat mengidentifikasi mesin yang terhubung ke jaringan yang masih memiliki akun lokal dan kemudian menambahkan pertanyaan keamanan ke akun tersebut.
Kenapa mengganggu?
Idenya adalah bahwa jika admin menemukan dan mencabut akses aktor jahat, kemudian mengubah semua kata sandi, secara teori, aktor dapat kembali ke jaringan ke mesin ini dan menggunakan pertanyaan khusus mereka untuk mengatur ulang kata sandi tersebut dan mendapatkan kembali akses penuh.
Para peneliti menyarankan mereka juga dapat menggunakan alat hashing untuk menentukan kata sandi sebelumnya, dan kemudian mengembalikan kata sandi lama untuk menyembunyikan akses mereka. Masalahnya di sini adalah bahwa sebagian besar jaringan domain tidak mengizinkan kata sandi yang digunakan kembali secara default.
Ketika Ars Technica meminta komentar Microsoft, jawabannya singkat:
Teknik yang dijelaskan membutuhkan penyerang untuk sudah memiliki akses administrator
Sementara itu mungkin tampak tumpul pada awalnya, apa yang disiratkan Microsoft adalah benar, dan itu membawa kita pada inti permasalahan sebenarnya. Setelah aktor jahat memiliki akses tingkat administratif pada jaringan, potensi kerusakan dan jalan serangan jauh melampaui trik pengaturan ulang kata sandi yang sederhana. Dan jika jaringan cukup kuat untuk mencegah aktor jahat dari mendapatkan tingkat administratif, maka semua ini diperdebatkan.
Jadi, pada akhirnya, penyerang jahat kita perlu mendapatkan akses tingkat administrator ke jaringan bisnis yang menggunakan domain Windows, menemukan komputer yang mungkin memiliki akun lokal di dalamnya, dan kemudian membuat pertanyaan keamanan sehingga mereka bisa kembali ke mereka komputer jika ditemukan dan dikunci. Dan kita seharusnya khawatir tentang itu ketika akses tingkat administrator mereka memberi mereka kemampuan untuk melakukan lebih banyak kerusakan.
Oke. Jadi, Apakah Ini Berlaku untuk Saya?
Jika Anda menggunakan komputer Windows 10 di rumah, jawaban singkatnya hampir pasti tidak. Dan inilah alasannya:
- PC rumahan Anda kemungkinan besar tidak bergabung dengan domain.
- Meskipun demikian, Anda harus menggunakan akun lokal dan kebanyakan orang di Windows 10 mungkin menggunakan akun Microsoft untuk masuk. Ini karena Windows 10 mengharuskan menggunakan Akun Microsoft agar banyak fitur berfungsi dengan benar. Dan walaupun Anda dapat mengambil beberapa langkah tambahan untuk membuat akun lokal, Microsoft tidak menjadikannya pilihan yang paling jelas. Jika Anda menggunakan Akun Microsoft, maka Anda tidak memiliki opsi untuk menggunakan pertanyaan pengaturan ulang kata sandi.
- Untuk memanfaatkan ini, seseorang harus memiliki akses jarak jauh atau fisik ke PC Anda. Dan dengan tingkat akses itu, pertanyaan pengaturan ulang kata sandi adalah yang paling tidak Anda khawatirkan.
Jadi, peluangnya sangat tinggi sehingga tidak ada penelitian ini berlaku untuk Anda. Tetapi bahkan jika Anda menggunakan akun lokal bergabung dengan domain, semua ini bermuara pada serangkaian pertanyaan kuno. Berapa banyak kenyamanan yang harus Anda berikan atas nama keamanan? Sebaliknya, seberapa besar keamanan yang harus Anda berikan atas nama kenyamanan?
Dalam hal ini, kemungkinan aktor buruk mengakses mesin Anda dan menggunakan pertanyaan keamanan untuk mendapatkan kontrol penuh sangat jauh. Dan kemungkinan lupa kata sandi Anda dan membutuhkan pertanyaan sedikit lebih tinggi. Periksalah situasi Anda, dan buat pilihan terbaik untuk Anda.