Không, bạn không cần phải tắt câu hỏi khôi phục mật khẩu trên Windows 10

Gần đây, một nhóm các nhà nghiên cứu đã mô tả một tình huống trong đó các câu hỏi khôi phục mật khẩu được sử dụng để xâm nhập vào PC Windows 10. Điều này đã dẫn đến một số đề xuất tắt tính năng này. Nhưng bạn không cần phải làm điều này nếu bạn là người dùng máy tính tại nhà.

Vậy, chuyện gì đang xảy ra ở đây?

Như Ars Technica lần đầu tiên được báo cáo, Windows 10 đã thêm tùy chọn đặt câu hỏi khôi phục mật khẩu trên các tài khoản cục bộ trong năm qua. Các nhà nghiên cứu bảo mật đã nghiên cứu kỹ vấn đề này và phát hiện ra rằng trên một mạng doanh nghiệp, điều này có thể dẫn đến lỗ hổng tiềm ẩn.

Ngay lập tức, bạn có thể nhận ra hai điểm quan trọng ở đó:

Đầu tiên, toàn bộ kịch bản dựa trên các máy tính được kết nối với mạng miền — loại bạn sẽ tìm thấy trên mạng doanh nghiệp với các máy tính được quản lý.
Thứ hai, lỗ hổng bảo mật áp dụng cho các tài khoản cục bộ. Điều đó đặc biệt thú vị vì nếu PC của bạn là một phần của miền, bạn gần như chắc chắn đang sử dụng tài khoản người dùng miền tập trung chứ không phải tài khoản cục bộ. Và các câu hỏi bảo mật không được phép trên các tài khoản miền theo mặc định.

Ngoài ra còn có một điểm thứ ba thậm chí còn quan trọng hơn. Tất cả điều này yêu cầu tác nhân độc hại trước tiên phải có quyền truy cập cấp quản trị viên trên mạng. Từ đó, họ có thể xác định các máy được kết nối với mạng vẫn còn tài khoản cục bộ và sau đó thêm các câu hỏi bảo mật cho các tài khoản đó.

Quan tâm làm gì?

Ý tưởng là nếu quản trị viên phát hiện và thu hồi quyền truy cập của tác nhân độc hại, sau đó thay đổi tất cả mật khẩu, về lý thuyết, tác nhân có thể quay trở lại mạng vào các máy này và sử dụng các câu hỏi tùy chỉnh của họ để đặt lại các mật khẩu đó và lấy lại toàn quyền truy cập .

Các nhà nghiên cứu đề xuất họ cũng có thể sử dụng một công cụ băm để xác định mật khẩu trước đó, sau đó khôi phục mật khẩu cũ để ẩn quyền truy cập của họ. Rắc rối ở đây là hầu hết các mạng miền không cho phép sử dụng lại mật khẩu theo mặc định.

Khi Ars Technica yêu cầu Microsoft đưa ra bình luận, câu trả lời rất ngắn gọn:

Kỹ thuật được mô tả yêu cầu kẻ tấn công đã có quyền truy cập của quản trị viên

Mặc dù điều đó thoạt đầu có vẻ khó hiểu, nhưng những gì Microsoft đang ám chỉ là đúng và nó đưa chúng ta đến mấu chốt thực sự của vấn đề. Một khi tác nhân độc hại có quyền truy cập cấp quản trị trên mạng, thiệt hại tiềm ẩn và các con đường tấn công vượt xa các thủ thuật đặt lại mật khẩu đơn giản. Và nếu một mạng lưới đủ mạnh để ngăn chặn tác nhân độc hại đạt được cấp độ quản trị, thì tất cả những điều này chỉ là tranh luận.

Vì vậy, cuối cùng, kẻ tấn công nguy hiểm của chúng tôi sẽ cần có quyền truy cập cấp quản trị viên vào mạng doanh nghiệp sử dụng miền Windows, tìm các máy tính có thể có tài khoản cục bộ trên đó, sau đó tạo câu hỏi bảo mật để họ có thể truy cập lại máy tính nếu chúng bị phát hiện và bị khóa. Và chúng tôi phải lo lắng về điều đó khi quyền truy cập cấp quản trị viên của họ cho phép họ có khả năng gây hại nhiều hơn.

Hiểu rồi. Vậy, điều này có áp dụng cho tôi không?

Nếu bạn đang sử dụng máy tính Windows 10 ở nhà, câu trả lời ngắn gọn là gần như chắc chắn là không. Và đây là lý do tại sao:

Máy tính gia đình của bạn rất có thể không được kết nối với miền.
Ngay cả khi có, bạn phải sử dụng tài khoản cục bộ và hầu hết mọi người trên Windows 10 có thể đang sử dụng tài khoản Microsoft để đăng nhập. Điều này là do Windows 10 yêu cầu sử dụng Tài khoản Microsoft để nhiều tính năng hoạt động chính xác. Và mặc dù bạn có thể thực hiện thêm một số bước để tạo tài khoản cục bộ, nhưng Microsoft không làm cho nó trở thành lựa chọn rõ ràng nhất. Nếu bạn đang sử dụng Tài khoản Microsoft, thì bạn không có tùy chọn sử dụng các câu hỏi đặt lại mật khẩu.
Để tận dụng điều này, ai đó sẽ cần có quyền truy cập từ xa hoặc vật lý vào PC của bạn. Và với mức độ truy cập đó, bạn sẽ ít phải lo lắng nhất về các câu hỏi đặt lại mật khẩu.

Vì vậy, khả năng rất cao là không có nghiên cứu nào áp dụng cho bạn. Nhưng ngay cả khi bạn đang sử dụng tài khoản cục bộ được tham gia vào một miền, tất cả những điều này đều nằm trong một bộ câu hỏi lâu đời. Bạn nên từ bỏ bao nhiêu tiện lợi dưới danh nghĩa an ninh? Ngược lại, bạn nên từ bỏ bao nhiêu bảo mật nhân danh sự tiện lợi?

Trong trường hợp này, khả năng kẻ xấu truy cập vào máy của bạn và sử dụng các câu hỏi bảo mật để giành toàn quyền kiểm soát là vô cùng xa vời. Và khả năng bạn quên mật khẩu và cần các câu hỏi sẽ cao hơn một chút. Hãy xem xét tình hình của bạn và đưa ra lựa chọn tốt nhất cho bạn.