ResponTodo

Recientemente, un grupo de investigadores describió un escenario en el que se utilizaron preguntas de recuperación de contraseña para ingresar a PC con Windows 10. Esto ha llevado a algunos a sugerir la desactivación de la función. Pero no necesita hacer esto si es un usuario de una computadora doméstica.

Entonces, ¿qué está pasando aquí?

Como informó Ars Technica por primera vez, Windows 10 ha agregado la opción para establecer preguntas de recuperación de contraseña en cuentas locales el año pasado. Los investigadores de seguridad profundizaron en esto y descubrieron que en una red empresarial esto podría conducir a una vulnerabilidad potencial.

Desde el principio, puede detectar dos puntos importantes allí:

• Primero, todo el escenario se basa en equipos unidos a una red de dominio, del tipo que encontraría en una red empresarial con equipos administrados.
• En segundo lugar, la vulnerabilidad se aplica a las cuentas locales. Eso es particularmente interesante porque si su PC es parte de un dominio, es casi seguro que está utilizando una cuenta de usuario de dominio centralizada y no una cuenta local. Y las preguntas de seguridad no están permitidas en las cuentas de dominio de forma predeterminada.

También hay un tercer punto que es aún más importante. Todo esto requiere que el actor malintencionado primero obtenga acceso a nivel de administrador en la red. A partir de ahí, podrían identificar las máquinas conectadas a la red que todavía tienen cuentas locales y luego agregar preguntas de seguridad a esas cuentas.

¿Por qué molestarse?

La idea es que si los administradores descubren y revocan el acceso del actor malintencionado, cambiando posteriormente todas las contraseñas, el actor podría, en teoría, regresar a la red de estas máquinas y usar sus preguntas personalizadas para restablecer esas contraseñas y recuperar el acceso completo. .

Los investigadores sugirieron que también podrían usar una herramienta de hash para determinar la contraseña anterior y luego restaurar la contraseña anterior para ocultar su acceso. El problema aquí es que la mayoría de las redes de dominios no permiten contraseñas reutilizadas de forma predeterminada.

Cuando Ars Technica le pidió un comentario a Microsoft, la respuesta fue breve:

La técnica descrita requiere que un atacante ya posea acceso de administrador

Si bien eso puede parecer obtuso al principio, lo que Microsoft está insinuando es correcto y nos lleva al verdadero meollo del asunto. Una vez que un actor malintencionado tiene acceso de nivel administrativo a una red, el daño potencial y las vías de ataque van mucho más allá de los simples trucos para restablecer la contraseña. Y si una red es lo suficientemente robusta como para evitar que el actor malintencionado alcance el nivel administrativo, entonces todo esto es discutible.

Entonces, al final, nuestro atacante malintencionado necesitaría obtener acceso de nivel de administrador a una red comercial que usa un dominio de Windows, encontrar computadoras que puedan tener cuentas locales y luego crear preguntas de seguridad para que puedan volver a esas computadoras si son descubiertas y bloqueadas. Y se supone que debemos estar preocupados por eso cuando su acceso a nivel de administrador les da la capacidad de hacer mucho más daño.

Entendido. Entonces, ¿esto se aplica a mí?

Si está usando una computadora con Windows 10 en casa, la respuesta corta es casi seguro que no. Y esta es la razón:

• Lo más probable es que su PC doméstica no esté unida a un dominio.
• Incluso si lo fuera, tendría que usar una cuenta local y la mayoría de las personas en Windows 10 probablemente estén usando una cuenta de Microsoft para iniciar sesión. Esto se debe a que Windows 10 requiere el uso de una cuenta de Microsoft para que muchas funciones funcionen correctamente . Y aunque puede tomar algunos pasos adicionales para crear una cuenta local , Microsoft no la convierte en la opción más obvia. Si está usando una cuenta de Microsoft, entonces no tiene la opción de usar preguntas de restablecimiento de contraseña.
• Para aprovechar esto, alguien debería tener acceso remoto o físico a su PC. Y con ese nivel de acceso, las preguntas para restablecer la contraseña son la menor de sus preocupaciones.

Por lo tanto, es muy probable que ninguna de estas investigaciones se aplique a usted. Pero incluso si está utilizando una cuenta local unida a un dominio, todo esto se reduce a una serie de preguntas antiguas. ¿A cuánta conveniencia debería renunciar en nombre de la seguridad? Por el contrario, ¿cuánta seguridad debería ceder en nombre de la conveniencia?

En este caso, las posibilidades de que un mal actor acceda a su máquina y utilice preguntas de seguridad para obtener el control total son increíblemente remotas. Y las posibilidades de olvidar su contraseña y necesitar las preguntas son un poco más altas. Haga un balance de su situación y elija la mejor opción para usted.