\r\n\r\n
最近、ある研究者グループが、パスワード回復の問題を利用してWindows 10コンピュータに侵入するシナリオを説明しました。そのため、この機能を無効化することを提案する人もいました。しかし、家庭のPCユーザーであれば、このようなことは必要ないでしょう。
Ars Technicaが最初に報じたように、windows 10は、過去1年間にローカルアカウントのパスワード回復問題を設定するオプションを追加しました。セキュリティ研究者がこれを詳しく調べたところ、商用ネットワークではこれが潜在的な脆弱性につながる可能性があることがわかった。
すぐに、2つのことに気がつくことができます。
さらに重要な3つ目のポイントがあります。いずれも、悪意のある参加者がまずネットワークの管理者レベルのアクセス権を取得する必要があります。そこから、ネットワークに接続されているマシンのうち、ローカルアカウントが残っているマシンを特定し、そのアカウントにセキュリティ上の問題を追加することができます。
なぜ悩むのか?
管理者が悪意のある参加者を見つけてアクセス権を剥奪し、その後すべてのパスワードを変更した場合、その参加者は理論上、それらのマシンのネットワークに戻り、カスタム質問を使用してパスワードをリセットし、フルアクセスを回復することができるというものです。
研究者は、ハッシュ化ツールを使って以前のパスワードを割り出し、古いパスワードを復元してアクセスを隠蔽することも可能だと提案した。ここで問題なのは、ほとんどのドメインネットワークでは、デフォルトでパスワードの再利用を許可していないことです。
Ars Technicaがマイクロソフトにコメントを求めたところ、回答は簡潔なものだった。
この手法では、攻撃者がすでに管理者権限を持っていることが必要です。
最初は少し遅く感じるかもしれませんが、マイクロソフトの提案は正しく、問題の本質に迫っています。悪意のある参加者がネットワークの管理者レベルのアクセス権を取得すると、潜在的な危険性と攻撃の手段は、単純なパスワードリセットのトリックをはるかに超えるものになります。悪意のある参加者が管理者レベルを獲得できないような強力なネットワークであれば、これらすべては無意味なものとなります。
つまり、悪意のある攻撃者は、Windowsドメインを使用するビジネスネットワークに管理者レベルでアクセスし、ローカルアカウントを持つ可能性のあるコンピュータを見つけ、発見されてロックアウトされても、それらのコンピュータに再びアクセスできるようなセキュリティ問題を作り出す必要があるのです。彼らの管理者レベルのアクセスによって、すでに被害が拡大している場合は心配する必要があります。
もし、あなたが自宅でwindows10のパソコンを使っているのであれば、単純に考えても答えは「No」です。
ですから、これらの研究のどれもがあなたには当てはまらない可能性があります。しかし、ドメインに参加するローカルアカウントを使用している場合でも、すべては昔からの疑問に帰結する。セキュリティの名の下に、どこまで利便性をあきらめるべきか。逆に言えば、利便性のためにどれだけのセキュリティをあきらめるべきか。
この場合、悪質な業者があなたのマシンにアクセスし、セキュリティ質問を使用して完全な制御を得る可能性は非常に低くなります。そして、パスワードを忘れてしまい、質問が必要になる可能性も高くなります。あなたの状況を評価し、あなたにとって最適な選択をしてください。