いいえ、Windows 10でパスワード回復の質問を無効にする必要はありません。
最近、あるグループの研究者が、パスワード回復のための質問を使ってWindows 10 PCに侵入するシナリオを説明しました。これにより、機能を無効にすることを提案する人がいます。あなたが家庭用コンピュータのユーザーであればしかし、あなたはこれを行う必要はありません.
だから、ここで何が起こっているの?
Ars Technicaが最初に報告したように、Windows 10はこの1年でローカルアカウントにパスワード回復の質問を設定するオプションを追加しました。セキュリティ研究者はこれを詳しく調べ、ビジネスネットワーク上でこれが潜在的な脆弱性につながる可能性があることを発見しました.
すぐに、そこに2つの重要な点を見つけることができます。
- まず、シナリオ全体は、ドメインネットワークに参加しているコンピューターに依存しています。これは、管理されたコンピューターを持つビジネスネットワークで見られるようなものです。.
- 次に、この脆弱性はローカルアカウントにも当てはまります。あなたのPCがドメインの一部であるなら、あなたはほぼ確実にローカルアカウントではなく集中ドメインユーザーアカウントを使っているので、それは特に興味深いです。セキュリティの質問はドメインアカウントではデフォルトで許可されていません.
さらに重要な3番目の点もあります。これらすべてのことは、悪意のある行為者が最初にネットワーク上で管理者レベルのアクセス権を取得することを要求します。そこから、ネットワークに接続され、まだローカルアカウントを持っているマシンを識別し、それらのアカウントにセキュリティに関する質問を追加することができます。.
なぜ迷惑なのか?
管理者が悪意のある攻撃者のアクセスを発見して無効にした後にすべてのパスワードを変更すると、理論上、攻撃者はネットワークに戻ってこれらのマシンにアクセスし、カスタム質問を使ってパスワードをリセットしてフルアクセスを取り戻すことができます。.
研究者らは、ハッシュツールを使って以前のパスワードを特定し、その後古いパスワードを復元して自分のアクセスを隠すこともできると提案しました。ここでの問題は、ほとんどのドメインネットワークがデフォルトで再利用パスワードを許可していないことです。.
Ars TechnicaがMicrosoftにコメントを求めたところ、回答は短かった。
説明されている手法では、攻撃者はすでに管理者アクセス権を持っている必要があります。
最初は曖昧に思えるかもしれませんが、Microsoftが示唆していることは正しいことであり、それが私たちを問題の真の核心に導いています。悪意のある攻撃者がネットワーク上で管理者レベルのアクセス権を取得すると、潜在的な被害と攻撃の可能性は単純なパスワード再設定のトリックをはるかに超えます。そして、悪意のある行為者が管理者レベルを獲得するのを防ぐのに十分なほど堅牢なネットワークであれば、このすべてが問題になります。.
したがって、最終的に、悪意のある攻撃者は、Windowsドメインを使用するビジネスネットワークへの管理者レベルのアクセス権を取得し、ローカルアカウントを持っている可能性があるコンピュータを見つけ、セキュリティに関する質問を作成してそれらに戻ることができます。コンピュータが検出されてロックアウトされた場合そして、管理者レベルのアクセス権によって、すでにもっと多くの害を及ぼすことができるようになったときに、心配することになっています。.
とった。だから、これは私に適用されますか?
自宅でWindows 10コンピュータを使用している場合、簡単な答えはほとんど間違いありません。そして、これが理由です:
- あなたの自宅のPCはドメインに参加していない可能性が高いです.
- たとえそうであっても、あなたはローカルアカウントを使用しなければならず、Windows 10のほとんどの人はおそらくログインにMicrosoftアカウントを使用しています。これはWindows 10が多くの機能を正しく機能させるためにMicrosoftアカウントの使用を必要とするためです。そして、代わりにローカルアカウントを作成するためにいくつかの追加の手順を踏むことができますが、マイクロソフトはそれを最も明白な選択にはしません。 Microsoftアカウントを使用している場合は、パスワード再設定の質問を使用することはできません。.
- これを利用するには、誰かがあなたのPCにリモートまたは物理的にアクセスする必要があります。そして、そのレベルのアクセスでは、パスワード再設定の質問はあなたの悩みの中で最も少ないです。.
だから、この研究のどれもあなたに当てはまらない可能性が非常に高いです。ただし、ドメインに参加しているローカルアカウントを使用している場合でも、これらすべてが古くからある一連の質問になります。あなたはセキュリティの名においてどれほどの便利さをあきらめるべきですか?逆に、利便性の観点からどの程度のセキュリティを放棄する必要があります?
この場合、悪意のある人物があなたのマシンにアクセスし、セキュリティの質問を使って完全な制御を獲得する可能性は非常に低いです。パスワードを忘れて質問が必要になる可能性は少し高くなります。あなたの状況を把握して、あなたにとって最良の選択をする.