최근 연구원 그룹은 암호 복구 질문이 Windows 10 PC에 침입하는 데 사용된 시나리오를 설명했습니다. 이로 인해 일부 기능을 비활성화할 것을 제안했습니다. 그러나 가정용 컴퓨터 사용자라면 이 작업을 수행할 필요가 없습니다.

무슨 일이야?

같이 아르스 테크니카 처음 보고된 바에 따르면 Windows 10은 작년에 로컬 계정에 대한 암호 복구 질문을 설정하는 옵션을 추가했습니다. 보안 연구원은 이에 대해 조사한 결과 비즈니스 네트워크에서 이것이 잠재적인 취약점으로 이어질 수 있음을 발견했습니다.

방망이에서 바로 두 가지 중요한 점을 발견할 수 있습니다.

첫째, 전체 시나리오는 관리 컴퓨터가 있는 비즈니스 네트워크에서 볼 수 있는 도메인 네트워크에 연결된 컴퓨터에 의존합니다.
둘째, 취약점이 로컬 계정에 적용됩니다. PC가 도메인의 일부인 경우 로컬 계정이 아닌 중앙 집중식 도메인 사용자 계정을 사용하고 있는 것이 거의 확실하기 때문에 이는 특히 흥미롭습니다. 그리고 기본적으로 도메인 계정에는 보안 질문이 허용되지 않습니다.

더욱 중요한 세 번째 요점이 있습니다. 이 모든 것을 위해서는 먼저 악의적인 행위자가 네트워크에서 관리자 수준의 액세스 권한을 얻어야 합니다. 거기에서 그들은 여전히 ​​로컬 계정이 있는 네트워크에 연결된 컴퓨터를 식별한 다음 해당 계정에 보안 질문을 추가할 수 있습니다.

귀찮게 왜?

관리자가 악의적인 행위자의 액세스 권한을 발견하고 취소한 후 모든 비밀번호를 변경하면 그 행위자가 이론적으로 이 시스템으로 다시 돌아가서 사용자 지정 질문을 사용하여 해당 비밀번호를 재설정하고 전체 액세스 권한을 다시 얻을 수 있다는 아이디어가 있습니다. .

연구원들은 해싱 도구를 사용하여 이전 비밀번호를 확인한 다음 이전 비밀번호를 복원하여 액세스를 숨길 수도 있다고 제안했습니다. 여기서 문제는 대부분의 도메인 네트워크가 기본적으로 재사용된 암호를 허용하지 않는다는 것입니다.

Ars Technica가 Microsoft에 의견을 요청했을 때 응답은 짧았습니다.

설명된 기술은 공격자가 이미 관리자 액세스 권한을 소유해야 합니다.

처음에는 그것이 둔해 보일 수 있지만 Microsoft가 의미하는 바는 옳으며 문제의 진정한 핵심을 알려줍니다. 악의적인 행위자가 네트워크에서 관리자 수준의 액세스 권한을 갖게 되면 잠재적인 손상과 공격 경로는 단순한 암호 재설정 트릭을 훨씬 뛰어넘습니다. 그리고 네트워크가 악의적인 행위자가 관리 수준을 얻지 못하도록 충분히 강력하다면 이 모든 것이 무의미합니다.

따라서 결국 악의적인 공격자는 Windows 도메인을 사용하는 비즈니스 네트워크에 대한 관리자 수준 액세스 권한을 얻고 로컬 계정이 있을 수 있는 컴퓨터를 찾은 다음 해당 컴퓨터에 다시 액세스할 수 있도록 보안 질문을 생성해야 합니다. 컴퓨터가 발견되어 잠긴 경우. 그리고 우리는 그들의 관리자 수준 액세스가 이미 훨씬 더 많은 해를 끼칠 수 있는 능력을 제공할 때 그것에 대해 걱정해야 합니다.

알았어요. 이것이 나에게 적용됩니까?

집에서 Windows 10 컴퓨터를 사용하는 경우 짧은 대답은 거의 확실하지 않습니다. 이유는 다음과 같습니다.

가정용 PC가 도메인에 가입되어 있지 않을 가능성이 큽니다.
그렇다면 로컬 계정을 사용해야 하고 Windows 10의 대부분의 사람들은 Microsoft 계정을 사용하여 로그인할 것입니다. 이는 Windows 10에서 많은 기능이 올바르게 작동하려면 Microsoft 계정을 사용해야 하기 때문입니다. 대신 로컬 계정을 만들기 위해 몇 가지 추가 단계를 수행할 수 있지만 Microsoft는 이를 가장 확실한 선택으로 삼지 않습니다. Microsoft 계정을 사용하는 경우 암호 재설정 질문을 사용할 수 없습니다.
이를 활용하려면 누군가가 귀하의 PC에 원격으로 또는 물리적으로 액세스할 수 있어야 합니다. 그리고 그 수준의 액세스를 사용하면 비밀번호 재설정 질문이 가장 걱정됩니다.

따라서 이 연구가 귀하에게 적용되지 않을 가능성이 매우 높습니다. 그러나 도메인에 가입된 로컬 계정을 사용하더라도 이 모든 것은 오래된 질문으로 귀결됩니다. 보안이라는 이름으로 얼마나 편리함을 포기해야 할까요? 반대로 편리함을 위해 어느 정도의 보안을 포기해야 할까요?

이 경우 나쁜 사람이 컴퓨터에 액세스하고 보안 질문을 사용하여 완전한 제어 권한을 얻을 가능성은 매우 희박합니다. 그리고 비밀번호를 잊어버리고 질문이 필요할 확률이 조금 더 높습니다. 상황을 잘 살펴보고 최선의 선택을 하십시오.