不，您不需要在windows 10上禁用密碼恢復問題

最近，一組研究人員描述了一個場景，其中密碼恢復問題被用來闖入Windows10電腦。這導致一些人建議禁用該功能。但如果你是家庭電腦使用者，你不需要這麼做。...

最近，一組研究人員描述了一個場景，其中密碼恢復問題被用來闖入Windows10電腦。這導致一些人建議禁用該功能。但如果你是家庭電腦使用者，你不需要這麼做。

那麼，這是怎麼回事？

正如Ars Technica首次報道的那樣，windows10在過去一年中增加了設定本地帳戶密碼恢復問題的選項。安全研究人員對此進行了深入研究，發現在商業網路上，這可能導致潛在的漏洞。

馬上，你就可以發現兩點：

首先，整個場景依賴於連線到域網路的計算機，這種計算機在帶有託管計算機的業務網路上可以找到。
第二，該漏洞適用於當地賬戶。這一點特別有趣，因為如果你的電腦是一個域的一部分，你幾乎可以肯定使用的是一個集中的域使用者帳戶，而不是一個本地帳戶。預設情況下，域帳戶上不允許出現安全問題。

還有第三點更重要。所有這些都要求惡意參與者首先獲得網路上的管理員級訪問許可權。從那裡，他們可以識別連線到網路上仍然有本地帳戶的機器，然後向這些帳戶新增安全問題。

為什麼要麻煩？

其思想是，如果管理員發現並撤銷惡意參與者的訪問許可權，隨後更改所有密碼，那麼從理論上講，參與者可以回到這些機器的網路中，並使用自定義問題重置這些密碼並重新獲得完全訪問許可權。

研究人員建議，他們也可以使用雜湊工具來確定以前的密碼，然後還原舊密碼以隱藏訪問許可權。這裡的問題是，大多數域網路預設情況下不允許重複使用密碼。

當Ars Technica要求微軟發表評論時，迴應很簡短：

The described technique requires an attacker to already possess administrator access

雖然這一點一開始看起來有些遲鈍，但微軟所暗示的是對的，它讓我們找到了問題的真正癥結所在。一旦惡意參與者在網路上具有管理級訪問許可權，潛在的危害和攻擊途徑就遠遠超出了簡單的密碼重置技巧。如果一個網路足夠強大，能夠阻止惡意參與者獲得管理級別，那麼所有這些都是沒有意義的。

因此，最終，我們的惡意攻擊者需要獲得對使用Windows域的業務網路的管理員級訪問許可權，找到可能有本地帳戶的計算機，然後建立安全問題，以便在發現並鎖定這些計算機時可以重新進入這些計算機。我們應該擔心的是，當他們的管理員級別的訪問許可權讓他們能夠做更多的傷害已經。

如果你在家裡使用的是windows10電腦，那麼簡單的答案几乎肯定不是。原因如下：

您的家用電腦很可能未加入域。
即使是這樣，您也必須使用本地帳戶，而且Windows 10上的大多數使用者可能都在使用Microsoft帳戶登入。這是因為Windows 10需要使用Microsoft帳戶才能使許多功能正常工作。雖然你可以採取一些額外的步驟來建立一個本地帳戶，但微軟並沒有把它作為最明顯的選擇。如果您使用的是Microsoft帳戶，則不能使用密碼重置問題。
要利用這一點，需要有人對你的電腦進行遠端或物理訪問。在這種訪問級別下，密碼重置問題是你最不擔心的。

所以，很有可能這些研究都不適用於你。但是，即使您使用的是一個加入域的本地帳戶，所有這些都歸結為一組古老的問題。你應該以安全的名義放棄多少便利？反過來說，你應該以方便的名義放棄多少安全感？

在這種情況下，一個壞角色訪問您的機器並使用安全問題來獲得完全控制的可能性非常小。而且忘記密碼和需要提問的機率更高。評估你的情況，為你做出最好的選擇。