Non, vous n'avez pas besoin de désactiver les questions de récupération de mot de passe sous Windows 10.
Récemment, un groupe de chercheurs a décrit un scénario dans lequel des questions de récupération de mot de passe étaient utilisées pour pénétrer dans les ordinateurs Windows 10. Cela a conduit certains à suggérer de désactiver la fonctionnalité. Mais vous n’avez pas besoin de le faire si vous utilisez un ordinateur à la maison..
Alors, qu'est-ce qui se passe ici?
Comme Ars Technica l'a signalé pour la première fois, Windows 10 a ajouté la possibilité de définir des questions de récupération de mot de passe sur des comptes locaux au cours de la dernière année. Les chercheurs en sécurité se sont penchés sur la question et ont découvert que sur un réseau d'entreprise, cela pouvait entraîner une vulnérabilité potentielle.
Dès le départ, vous pouvez identifier deux points importants:
- Tout d'abord, tout le scénario repose sur des ordinateurs connectés à un réseau de domaine, du type que vous trouverez sur un réseau d'entreprise avec des ordinateurs gérés..
- Deuxièmement, la vulnérabilité s’applique aux comptes locaux. C'est particulièrement intéressant car si votre PC fait partie d'un domaine, vous utilisez certainement un compte d'utilisateur de domaine centralisé et non un compte local. Et les questions de sécurité ne sont pas autorisées sur les comptes de domaine par défaut.
Il y a aussi un troisième point qui est encore plus important. Tout cela nécessite que l'acteur malveillant obtienne d'abord un accès de niveau administrateur sur le réseau. À partir de là, ils pourraient ensuite identifier les machines connectées au réseau qui ont encore des comptes locaux, puis ajouter des questions de sécurité à ces comptes..
Pourquoi s'embêter?
L'idée est que si les administrateurs découvrent et révoquent l'accès de l'acteur malveillant, modifiant ensuite tous les mots de passe, l'acteur pourrait, en théorie, revenir sur le réseau et utiliser ses questions personnalisées pour réinitialiser ces mots de passe et retrouver un accès complet..
Les chercheurs ont suggéré d'utiliser un outil de hachage pour déterminer le mot de passe précédent, puis de restaurer l'ancien mot de passe pour masquer leur accès. Le problème ici est que la plupart des réseaux de domaines n'autorisent pas les mots de passe réutilisés par défaut.
Quand Ars Technica a demandé à Microsoft de commenter, la réponse était courte:
La technique décrite nécessite qu'un attaquant possède déjà un accès administrateur
Bien que cela puisse sembler obtus au début, ce que Microsoft sous-entend est vrai et cela nous amène au cœur du problème. Une fois qu'un acteur malveillant dispose d'un accès de niveau administratif sur un réseau, les dommages potentiels et les voies d'attaque vont bien au-delà des simples astuces de réinitialisation de mot de passe. Et si un réseau est suffisamment robuste pour empêcher l'acteur malveillant d'accéder au niveau administratif, tout cela n'a plus de raison d'être..
Donc, au final, notre attaquant malveillant devrait obtenir un accès administrateur à un réseau d’entreprise utilisant un domaine Windows, rechercher les ordinateurs sur lesquels des comptes locaux pourraient figurer, puis créer des questions de sécurité afin qu’ils puissent y revenir. ordinateurs s'ils sont découverts et verrouillés. Et nous sommes censés être inquiets à ce sujet lorsque leur accès de niveau administrateur leur donne la possibilité de faire beaucoup plus de dégâts déjà.
Je l'ai. Alors, est-ce que cela s'applique à moi??
Si vous utilisez un ordinateur Windows 10 à la maison, la réponse courte est presque certainement pas. Et voici pourquoi:
- Votre ordinateur personnel n'est probablement pas associé à un domaine.
- Même si c'était le cas, vous devez utiliser un compte local et la plupart des utilisateurs de Windows 10 utilisent probablement un compte Microsoft pour se connecter. En effet, Windows 10 requiert l'utilisation d'un compte Microsoft pour que de nombreuses fonctionnalités fonctionnent correctement. Et bien que vous puissiez prendre quelques mesures supplémentaires pour créer un compte local, Microsoft n'en fait pas le choix le plus évident. Si vous utilisez un compte Microsoft, vous ne pouvez pas utiliser les questions de réinitialisation du mot de passe..
- Pour en tirer parti, il faudrait que quelqu'un ait un accès physique ou distant à votre PC. Et avec ce niveau d'accès, les questions de réinitialisation de mot de passe sont le moindre de vos soucis..
Il est donc très probable qu'aucune de ces recherches ne vous concerne. Mais même si vous utilisez un compte local associé à un domaine, tout cela se résume à un ensemble de questions séculaires. Combien de commodité devriez-vous abandonner au nom de la sécurité? Inversement, quelle sécurité devriez-vous abandonner au nom de la commodité??
Dans ce cas, les chances pour un mauvais acteur d’accéder à votre machine et d’utiliser des questions de sécurité pour obtenir un contrôle total sont incroyablement distantes. Et les chances d'oublier votre mot de passe et d'avoir besoin des questions sont un peu plus grandes. Faites le point sur votre situation et faites le meilleur choix pour vous.