loader

No, no necesita deshabilitar las preguntas de recuperación de contraseña en Windows 10

Anonim

Recientemente, un grupo de investigadores describió un escenario en el que se utilizaron preguntas de recuperación de contraseña para dividir las PC con Windows 10. Esto ha llevado a algunos a sugerir la desactivación de la función. Pero no necesita hacer esto si es un usuario de computadoras domésticas.

Entonces, ¿qué está pasando aquí?

Como informó por primera vez Ars Technica, Windows 10 ha agregado la opción de establecer preguntas de recuperación de contraseña en cuentas locales en el último año. Los investigadores de seguridad profundizaron en esto y descubrieron que en una red empresarial esto podría conducir a una vulnerabilidad potencial.

Desde el principio, puedes encontrar dos puntos importantes allí:

  • Primero, todo el escenario se basa en computadoras unidas a una red de dominio, del tipo que encontraría en una red de negocios con computadoras administradas.
  • En segundo lugar, la vulnerabilidad se aplica a las cuentas locales. Eso es particularmente interesante porque si su PC es parte de un dominio, es casi seguro que está usando una cuenta de usuario de dominio centralizada y no una cuenta local. Y las preguntas de seguridad no están permitidas en las cuentas de dominio de forma predeterminada.

También hay un tercer punto que es aún más importante. Todo esto requiere que el actor malicioso primero obtenga acceso de administrador en la red. Desde allí, podrían identificar las máquinas conectadas a la red que aún tienen cuentas locales y luego agregar preguntas de seguridad a esas cuentas.

¿Por qué molestarse?

La idea es que si los administradores descubren y revocan el acceso del actor malintencionado, cambiando posteriormente todas las contraseñas, el actor podría, en teoría, regresar a la red a estas máquinas y usar sus preguntas personalizadas para restablecer esas contraseñas y recuperar el acceso completo .

Los investigadores sugirieron que también podrían usar una herramienta de hashing para determinar la contraseña anterior y luego restaurar la contraseña anterior para ocultar su acceso. El problema aquí es que la mayoría de las redes de dominios no permiten contraseñas reutilizadas de forma predeterminada.

Cuando Ars Technica le pidió a Microsoft un comentario, la respuesta fue corta:

La técnica descrita requiere que un atacante ya posea acceso de administrador.

Si bien esto puede parecer obtuso al principio, lo que Microsoft está insinuando es correcto, y nos lleva al quid real del asunto. Una vez que un actor malintencionado tiene acceso de nivel administrativo en una red, el daño potencial y las vías de ataque van mucho más allá de los simples trucos de restablecimiento de contraseñas. Y si una red es lo suficientemente robusta como para evitar que el actor malicioso obtenga un nivel administrativo, entonces todo esto es discutible.

Entonces, al final, nuestro atacante malintencionado tendría que obtener acceso de administrador a una red comercial que usa un dominio de Windows, encontrar computadoras que puedan tener cuentas locales y luego crear preguntas de seguridad para que puedan volver a las Computadoras si son descubiertas y bloqueadas. Y se supone que debemos preocuparnos por eso cuando su acceso de nivel de administrador les da la capacidad de hacer mucho más daño ya.

Lo tengo. Entonces, ¿esto se aplica a mí?

Si está utilizando una computadora con Windows 10 en casa, la respuesta corta es casi seguro que no. Y he aquí por qué:

  • Lo más probable es que la PC de tu hogar no esté unida a un dominio.
  • Incluso si fuera así, tendría que estar usando una cuenta local y la mayoría de las personas en Windows 10 probablemente estén usando una cuenta de Microsoft para iniciar sesión. Esto se debe a que Windows 10 requiere el uso de una cuenta de Microsoft para que muchas funciones funcionen correctamente. Y aunque puede tomar algunos pasos adicionales para crear una cuenta local, Microsoft no la convierte en la opción más obvia. Si está utilizando una cuenta de Microsoft, entonces no tiene la opción de usar las preguntas para restablecer la contraseña.
  • Para aprovechar esto, alguien necesitaría tener acceso remoto o físico a su PC. Y con ese nivel de acceso, las preguntas para restablecer la contraseña son la menor de tus preocupaciones.

Por lo tanto, es muy probable que ninguna de estas investigaciones se aplique a usted. Pero incluso si está utilizando una cuenta local unida a un dominio, todo esto se reduce a un conjunto de preguntas antiguas. ¿Cuánta conveniencia debería renunciar en nombre de la seguridad? Por el contrario, ¿a cuánta seguridad debería renunciar en nombre de la conveniencia?

En este caso, las posibilidades de que un mal actor acceda a su máquina y utilicen preguntas de seguridad para obtener un control total son increíblemente remotas. Y las posibilidades de olvidar su contraseña y de necesitar las preguntas son un poco más altas. Haga un balance de su situación y tome la mejor decisión para usted.

La Elección Del Editor