아니요, Windows 10에서 비밀번호 복구 질문을 비활성화 할 필요가 없습니다.

By
조 치훈
-
0
502

최근 한 연구원 그룹이 암호 복구 질문을 사용하여 Windows 10 PC로 침입하는 시나리오를 설명했습니다. 이로 인해 일부 기능이 비활성화 될 수 있습니다. 그러나 가정용 컴퓨터 사용자라면이 작업을 수행 할 필요가 없습니다.

무슨 일이야?

Ars Technica가 처음보고 한 것처럼 Windows 10은 지난해 로컬 계정에 대한 암호 복구 질문을 설정하는 옵션을 추가했습니다. 보안 연구원들은이를 조사하고 비즈니스 네트워크에서 이것이 잠재적 인 취약성을 초래할 수 있음을 발견했습니다.

박쥐에서 바로 두 가지 중요한 점을 찾을 수 있습니다.

  • 첫째, 전체 시나리오는 관리 컴퓨터가있는 비즈니스 네트워크에서 찾을 수있는 도메인 네트워크에 연결된 컴퓨터를 사용합니다.
  • 둘째,이 취약점은 로컬 계정에 적용됩니다. PC가 도메인의 일부인 경우 로컬 계정이 아닌 중앙 집중식 도메인 사용자 계정을 사용하고 있기 때문에 특히 흥미 롭습니다. 기본적으로 도메인 계정에서는 보안 질문이 허용되지 않습니다.

더 중요한 세 번째 요점도 있습니다. 이 모든 것이 네트워크에서 관리자 수준의 액세스 권한을 얻으려면 악의적 인 행위자가 먼저 필요합니다. 그런 다음 네트워크에 연결된 로컬 계정이있는 컴퓨터를 식별 한 다음 해당 계정에 보안 질문을 추가 할 수 있습니다.

왜 귀찮게?

아이디어는 관리자가 악의적 인 행위자의 액세스를 발견하고 철회 한 후 모든 암호를 변경하면 이론적으로 이론적으로 해당 기계로 네트워크로 돌아가서 사용자 지정 질문을 사용하여 해당 암호를 재설정하고 완전한 액세스 권한을 다시 얻을 수 있다는 것입니다. .

연구원들은 해시 도구를 사용하여 이전 비밀번호를 확인한 다음 이전 비밀번호를 복원하여 액세스를 숨길 수도 있다고 제안했습니다. 여기서 문제는 대부분의 도메인 네트워크에서 기본적으로 재사용 비밀번호를 허용하지 않는다는 것입니다.

Ars Technica가 Microsoft에 의견을 물었을 때 응답이 짧았습니다.

설명 된 기술은 공격자가 이미 관리자 액세스 권한을 가지고 있어야합니다.

처음에는 이해하기 어려워 보일 수 있지만 Microsoft가 암시하는 것은 옳으며, 문제의 핵심입니다. 악의적 인 행위자가 네트워크에서 관리 수준의 액세스 권한을 가지면 잠재적 인 피해 및 공격 방법은 단순한 암호 재설정 트릭을 훨씬 뛰어 넘습니다. 그리고 악의적 인 행위자가 관리 수준을 얻지 못하도록 네트워크가 충분히 견고하다면이 모든 것이 무의미합니다.

결국, 악의적 인 공격자는 Windows 도메인을 사용하는 비즈니스 네트워크에 대한 관리자 수준의 액세스 권한을 얻어 로컬 계정이있는 컴퓨터를 찾은 다음 보안 질문을 작성하여 해당 도메인으로 다시 돌아올 수 있어야합니다. 컴퓨터가 발견되어 잠겨있는 경우 또한 관리자 수준의 액세스 권한으로 인해 더 많은 피해를 입을 수있는 능력이 있다는 점에 대해 걱정해야합니다.

알았다. 그래서, 이것이 나에게 적용됩니까?

집에서 Windows 10 컴퓨터를 사용하는 경우 대답은 거의 아닙니다. 그리고 그 이유는 다음과 같습니다.

  • 가정용 PC가 도메인에 가입되어 있지 않을 가능성이 높습니다.
  • 그래도 로컬 계정을 사용해야하고 Windows 10 사용자는 대부분 Microsoft 계정을 사용하여 로그인해야합니다. Windows 10은 많은 기능이 제대로 작동하려면 Microsoft 계정을 사용해야하기 때문입니다. 대신 로컬 계정을 만들기 위해 몇 가지 추가 단계를 수행 할 수 있지만 Microsoft는 가장 확실한 선택을하지 않습니다. Microsoft 계정을 사용하는 경우 비밀번호 재설정 질문을 사용할 수있는 옵션이 없습니다.
  • 이를 이용하려면 누군가 PC에 원격으로 또는 물리적으로 액세스해야합니다. 그리고 이러한 수준의 액세스 권한으로 인해 비밀번호 재설정 질문이 가장 걱정됩니다.

따라서이 연구 중 어느 것도 귀하에게 적용되지 않을 가능성이 매우 높습니다. 그러나 도메인에 가입 된 로컬 계정을 사용하더라도이 모든 것은 오래된 질문으로 이어집니다. 보안의 이름으로 얼마나 많은 편의를 포기해야합니까? 반대로 편의의 이름으로 얼마나 많은 보안을 포기해야합니까?

이 경우 악의적 인 사용자가 컴퓨터에 액세스하고 보안 질문을 사용하여 완전히 제어 할 수있는 가능성은 매우 먼 것입니다. 그리고 비밀번호를 잊어 버리고 질문이 필요할 가능성은 조금 더 높습니다. 상황을 파악하고 최선의 선택을하십시오.

조 치훈
조 치훈
http://choesin.com

RELATED ARTICLESMORE FROM AUTHOR