नहीं, आपको विंडोज 10 पर पासवर्ड पुनर्प्राप्ति प्रश्नों को अक्षम करने की आवश्यकता नहीं है
हाल ही में शोधकर्ताओं के एक समूह ने एक परिदृश्य का वर्णन किया है जिसमें पासवर्ड रिकवरी प्रश्नों का उपयोग विंडोज 10 पीसी में तोड़ने के लिए किया गया था। इसके कारण कुछ लोगों ने सुविधा को अक्षम करने का सुझाव दिया है। लेकिन अगर आप एक घरेलू कंप्यूटर उपयोगकर्ता हैं, तो आपको ऐसा करने की आवश्यकता नहीं है.
तो, यहाँ क्या हो रहा है?
जैसा कि अर्स टेक्निका ने पहली बार रिपोर्ट किया था, विंडोज 10 ने पिछले वर्ष में स्थानीय खातों पर पासवर्ड रिकवरी प्रश्न सेट करने का विकल्प जोड़ा है। सुरक्षा शोधकर्ताओं ने इस पर ध्यान दिया और पाया कि एक व्यावसायिक नेटवर्क पर यह संभावित भेद्यता का कारण बन सकता है.
बल्ले से राइट, आप दो महत्वपूर्ण बिंदुओं को वहां रख सकते हैं:
- सबसे पहले, संपूर्ण परिदृश्य कंप्यूटर पर निर्भर करता है जो एक डोमेन नेटवर्क में शामिल होता है-जिस तरह से आप प्रबंधित कंप्यूटर के साथ व्यावसायिक नेटवर्क पर पाएंगे.
- दूसरा, भेद्यता स्थानीय खातों पर लागू होती है। यह विशेष रूप से दिलचस्प है क्योंकि यदि आपका पीसी एक डोमेन का हिस्सा है, तो आप लगभग निश्चित रूप से एक केंद्रीकृत डोमेन उपयोगकर्ता खाते का उपयोग कर रहे हैं न कि स्थानीय खाते का। और डिफ़ॉल्ट रूप से डोमेन खातों पर सुरक्षा प्रश्नों की अनुमति नहीं है.
एक तीसरा बिंदु भी है जो और भी महत्वपूर्ण है। नेटवर्क पर व्यवस्थापक-स्तरीय पहुंच प्राप्त करने के लिए सबसे पहले दुर्भावनापूर्ण अभिनेता की आवश्यकता होती है। वहां से, वे फिर नेटवर्क से जुड़ी मशीनों की पहचान कर सकते हैं जिनके पास अभी भी स्थानीय खाते हैं और फिर उन खातों में सुरक्षा प्रश्न जोड़ सकते हैं.
क्यों परेशान?
यह विचार यह है कि यदि दुर्भावनापूर्ण अभिनेता की पहुंच की खोज और उसे रोकना, बाद में सभी पासवर्डों को बदलना, अभिनेता सिद्धांत रूप में, इन मशीनों के नेटवर्क में वापस आ सकता है और उन पासवर्डों को रीसेट करने के लिए अपने कस्टम प्रश्नों का उपयोग कर सकता है और पूर्ण पहुंच प्राप्त कर सकता है।.
शोधकर्ताओं ने सुझाव दिया कि वे पिछले पासवर्ड को निर्धारित करने के लिए एक हैशिंग टूल का उपयोग कर सकते हैं, और फिर अपनी पहुंच को छिपाने के लिए पुराने पासवर्ड को पुनर्स्थापित कर सकते हैं। यहां परेशानी यह है कि अधिकांश डोमेन नेटवर्क डिफ़ॉल्ट रूप से पुन: उपयोग किए गए पासवर्ड की अनुमति नहीं देते हैं.
जब Ars Technica ने Microsoft से टिप्पणी मांगी, तो प्रतिक्रिया कम थी:
वर्णित तकनीक के लिए एक हमलावर की आवश्यकता होती है जो पहले से ही व्यवस्थापक पहुंच के पास है
जबकि यह पहली बार में अटपटा लग सकता है, जो Microsoft आसन्न है वह सही है, और यह हमें मामले के असली क्रुक्स में लाता है। एक बार एक दुर्भावनापूर्ण अभिनेता के पास नेटवर्क पर प्रशासनिक-स्तरीय पहुंच होती है, तो हमले के संभावित नुकसान और रास्ते सरल पासवर्ड रीसेट ट्रिक से बहुत आगे निकल जाते हैं। और अगर कोई नेटवर्क इतना मजबूत है कि दुर्भावनापूर्ण अभिनेता को कभी भी प्रशासनिक-स्तर हासिल करने से न रोके, तो यह सब लाजिमी है.
इसलिए, अंत में, हमारे दुर्भावनापूर्ण हमलावर को एक व्यवसाय नेटवर्क के लिए व्यवस्थापक-स्तरीय पहुंच प्राप्त करने की आवश्यकता होगी जो विंडोज डोमेन का उपयोग करता है, उन कंप्यूटरों को ढूंढें जिनके पास स्थानीय खाते हो सकते हैं, और फिर सुरक्षा प्रश्न बनाएं ताकि वे उन में वापस आ सकें। कंप्यूटर अगर वे खोजे गए और लॉक हो गए। और हमें इस बारे में चिंतित होना चाहिए कि जब उनके व्यवस्थापक-स्तर की पहुंच उन्हें पहले से ही बहुत अधिक नुकसान पहुंचाने की क्षमता देती है.
समझ गया। तो, क्या यह मेरे लिए लागू होता है?
यदि आप घर पर विंडोज 10 कंप्यूटर का उपयोग कर रहे हैं, तो संक्षिप्त उत्तर लगभग निश्चित रूप से नहीं है। और यहाँ क्यों है:
- आपका होम पीसी सबसे अधिक संभावना है कि एक डोमेन में शामिल नहीं हुआ है.
- यहां तक कि अगर यह था, तो आपको स्थानीय खाते का उपयोग करना होगा और विंडोज 10 पर अधिकांश लोग शायद साइन इन करने के लिए Microsoft खाते का उपयोग कर रहे हैं। ऐसा इसलिए है क्योंकि विंडोज 10 को सही ढंग से काम करने के लिए कई विशेषताओं के लिए Microsoft खाते का उपयोग करने की आवश्यकता होती है। और जब आप इसके बजाय एक स्थानीय खाता बनाने के लिए कुछ अतिरिक्त कदम उठा सकते हैं, तो Microsoft इसे सबसे स्पष्ट विकल्प नहीं बनाता है। यदि आप Microsoft खाता का उपयोग कर रहे हैं, तो आपके पास पासवर्ड रीसेट प्रश्नों का उपयोग करने का विकल्प नहीं है.
- इसका लाभ उठाने के लिए, किसी को आपके पीसी में रिमोट या भौतिक पहुंच की आवश्यकता होगी। और उस स्तर तक पहुंच के साथ, पासवर्ड रीसेट प्रश्न आपकी चिंताओं में से कम से कम हैं.
तो, संभावना बहुत अधिक है कि इस शोध में से कोई भी आप पर लागू नहीं होता है। लेकिन भले ही आप किसी डोमेन में शामिल किसी स्थानीय खाते का उपयोग कर रहे हों, यह सब प्रश्नों के एक पुराने-पुराने सेट पर आता है। सुरक्षा के नाम पर आपको कितनी सुविधा देनी चाहिए? इसके विपरीत, सुविधा के नाम पर आपको कितनी सुरक्षा देनी चाहिए?
इस मामले में, एक खराब अभिनेता के आपकी मशीन तक पहुँचने और पूर्ण नियंत्रण हासिल करने के लिए सुरक्षा प्रश्नों का उपयोग करने की संभावना अविश्वसनीय रूप से दूरस्थ है। और आपके पासवर्ड को भूलने और प्रश्नों की आवश्यकता की संभावना थोड़ी अधिक है। अपनी स्थिति का जायजा लें, और आपके लिए सबसे अच्छा विकल्प है.