Apesar das Expectativas em Contrário, as Perguntas de Segurança do Windows 10 não são tão Seguras

Sempre que configurar uma nova conta em qualquer lugar, você pode criar uma rede de segurança que pode ajudá-lo a recuperar a sua senha, caso você a esqueça. Qualquer sistema que exija o uso de uma senha deve ser fornecido com essa rede de segurança. O sistema operacional do Windows também tem maneiras de ajudá-lo a recuperar a sua senha. O Windows 10 vem com o recurso de perguntas de segurança, mas recentemente foi revelado que as questões de segurança do Windows podem ser invadidas e, portanto, levantou novas preocupações de segurança. Discutiremos as maneiras pelas quais as questões de segurança do Windows podem ser invadidas e também descreveremos os métodos para desativá-las.

O Que são as perguntas de segurança do Windows?

As Perguntas de Segurança do Windows são uma lista de perguntas padrão que você pode escolher quando configura a sua conta do Windows 10. Essas perguntas são usadas para fornecer uma solução quando você esquece a sua senha do Windows.

A verdade é que sempre que você cria uma conta local no Windows 10, é necessário criar várias perguntas de segurança. Se você esquecer a sua senha do Windows, responder às perguntas de segurança que você criou com antecedência deverá ajudá-lo a redefini-la ou restaurá-la. O problema com as questões de segurança é que elas são bastante óbvias. Por exemplo, uma das perguntas padrão é "Qual era o seu apelido de infância?" Se houver alguém que o  conheça bem o suficiente, essa pessoa poderão redefinir a senha e assumir a sua conta respondendo a ela.

Como as perguntas de segurança do Windows podem ser Hackeadas?

Magal Baz e Tom Sela, pesquisadores de segurança da Illusive Networks, descobriram como é possível hackear as perguntas de segurança do Windows sem sequer executar qualquer tipo de código na máquina que se quer hackear. Tudo está na simplicidade das perguntas padrão.

Tecnologia à parte, o principal problema com essas perguntas de segurança que protegem a senha do Windows é que elas são codificadas permanentemente. Isso significa que o usuário não pode inserir as suas próprias perguntas e a Microsoft só permite escolher entre seis perguntas padrão no menu suspenso. Como mencionado, uma das perguntas é sobre o apelido da sua infância, e outra, por exemplo, é sobre o nome do seu primeiro animal de estimação.

Qualquer um que esteja familiarizado com a importância de senhas fortes diria a você imediatamente que usar nomes para proteger essas senhas é uma má ideia. O nome de um animal de estimação pode ser ainda pior, porque é muito mais fácil de adivinhar.

Embora os pesquisadores tenham apontado que o atacante teria que ter acesso anterior à rede alvo para hackear as questões de segurança do Windows, o ponto é que, se conseguissem passar pela senha do Windows, os criminosos teriam uma presença quase absoluta na máquina visada.

Então, como isso funciona? A senha do Windows e todas as outras senhas importantes de um determinado sistema são armazenadas na entrada Segredos LSA no registro do Windows. Tecnicamente, deve ser extremamente difícil invadir essa entrada porque ela é criptografada. No entanto, se o hacker tiver acesso total ao registro aa máquina visada e souber coletar os artefatos necessários para montar a chave AES para desbloquear os Segredos LSA, não seria tão difícil reescrever todas as senhas.

A conclusão é que, se alguém assumir o controle total de um sistema visado, poderá facilmente ignorar as questões de segurança. De fato, alguns especialistas em tecnologia questionam seriamente a Microsoft por continuar a acrescentar questões de segurança ao sistema operacional do Windows, porque elas obviamente são comprometedoras.

E não é um problema tão grande para um usuário individual quanto para os usuários corporativos e empresas. De acordo com Magal Baz, uma vez que um invasor consegue controlar pelo menos uma máquina comprometida que executa  o Windows 10 , se essa máquina faz parte de uma grande rede que conecta várias máquinas com privilégios de administrador, o invasor pode facilmente alterar as questões de segurança no sistema comprometido. Como resultado, as questões de segurança modificadas tornam-se backdoors do sistema, permitindo que os hackers deslizem para todas as máquinas. Portanto, embora essas perguntas devam proteger a senha do usuário, essencialmente, elas são uma grande vulnerabilidade.

 

O que devo fazer para remover as perguntas de segurança do Windows?

Magal Baz e Tom Sela criaram um script do PowerShel que pode desabilitar as questões de segurança internas do Windows. Por outro lado, se os usuários não estiverem familiarizados com linguagens de programação, talvez não consigam aplicar esse script. Assim, eles podem precisar se dirigir a um programador profissional para ajustar esse aspecto do sistema operacional do Windows.

No entanto, quando se trata de redes de computadores, pode ser uma boa ideia pular a criação das questões de segurança, antes de configurar novas contas do Windows 10. Seria muito mais fácil e você não precisaria executar um script de linguagem de programação.

Método 1: Ignorar as perguntas de segurança

É possível não associar as questões de segurança a uma conta local do Windows 10 quando você cria uma. Você pode fazer isso quando estiver na seção Criar uma conta para este PC. No momento em que você clicar no campo de senha do Windows, as opções de pergunta de segurança também serão exibidas. Para pular as perguntas, simplesmente não crie uma senha para essa conta e clique em Avançar. Ao deixar essas seções em branco, você evita a criação de novas perguntas de segurança. Quanto à senha da sua conta, você pode configurá-la mais tarde, quando a conta já estiver criada.

Método 2: Ignorar as perguntas de segurança

Além de criar uma conta local no Windows, você também pode usara sua conta da Microsoft para ignorar as perguntas de segurança do Windows. Portanto, se você tiver uma conta na Microsoft, poderá fazer o seguinte:

  1. Use as credenciais da conta na Microsoft para efetuar login.
  2. Abra "Configurações" e vá para "Contas". Clique em "Suas informações".
  3. Clique em um link que diz "Faça login com uma conta local".
  4. Digite a sua senha da conta na Microsoft.
  5. Configure uma nova senha da conta local.

Se você criar uma nova senha dessa maneira, ela não terá perguntas de segurança. Os métodos descritos não são simples, mas, como as questões de segurança do Windows são codificadas, pode ser necessário algum esforço para contorná-las.

Por outro lado, se você não usar as questões de segurança, a possibilidade de perder a sua senha do Windows aumenta. Assim, gostaríamos de recomendar o uso do  Gerenciador de Senhas do Gerenciador de Senhas do Cyclonis para armazenar as suas senhas na seção Notas Pessoais do gerente. Se a ferramenta estiver instalada em vários dispositivos e o cofre estiver sincronizado, você poderá procurar as suas senhas em outro dispositivo, mesmo que não consiga acessar o computador principal no momento. Então, só porque algo é padrão, isso não significa que você tem que usá-lo de qualquer jeito.

January 10, 2019
Carregando…

Detalhes e Termos de Backup do Cyclonis

O plano Básico do Backup Gratuito do Cyclonis oferece 2 GB de espaço de armazenamento na nuvem com funcionalidade total! Não é necessário cartão de crédito. Precisa de mais espaço de armazenamento? Compre um plano maior do Backup do Cyclonios agora! Para saber mais sobre nossas políticas e preços, consulte os Termos de Serviço, Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.

Detalhes e Termos do Gerenciador de Senhas do Cyclonis

Teste GRATUITO: Oferta Única de 30 Dias! Nenhum cartão de crédito será necessário para o teste gratuito. Funcionalidade completa durante o período de avaliação gratuita. (A funcionalidade completa após a Avaliação Gratuita requer a compra deaassinatura.) Para saber mais sobre nossas políticas e preços, consulte o CLUF, a Política de Privacidade, os Termos de Desconto e a Página de Compra. Se você deseja desinstalar o aplicativo, visite a página Instruções de Desinstalação.