Recentemente, um grupo de investigadores apresentou um cenário em que questões de recuperação de palavra-passe foram exploradas para obter acesso não autorizado a computadores com Windows 10. Esta situação gerou discussões sobre a possível desativação desta funcionalidade. Contudo, se for um utilizador doméstico, não precisa de tomar essa medida.
O que está realmente a acontecer?
Conforme reportado inicialmente pela Ars Technica, o Windows 10 introduziu a opção de configurar perguntas de recuperação de palavra-passe para contas locais. Investigadores de segurança analisaram esta funcionalidade e concluíram que, numa rede corporativa, poderia resultar numa potencial vulnerabilidade.
Desde já, podemos identificar dois aspetos cruciais:
Primeiramente, toda a situação depende de computadores integrados numa rede de domínio, típica de ambientes corporativos com máquinas geridas. Em segundo lugar, a vulnerabilidade afeta contas locais. Isto é particularmente relevante porque, se o seu computador estiver ligado a um domínio, é altamente provável que esteja a usar uma conta de utilizador de domínio centralizada e não uma conta local. Note-se que as perguntas de segurança não são permitidas por padrão em contas de domínio.
Existe ainda um terceiro ponto, de extrema importância: toda esta situação exige que o agente malicioso tenha, inicialmente, acesso de administrador à rede. A partir daí, consegue identificar os equipamentos conectados à rede que ainda têm contas locais e adicionar perguntas de segurança a essas contas.
Qual a relevância desta informação?
A ideia é que, mesmo que os administradores detetem e revertam o acesso do agente malicioso, alterando posteriormente todas as palavras-passe, o agente poderia, em teoria, aceder novamente a esses computadores na rede, usando as suas perguntas personalizadas para redefinir as palavras-passe e recuperar o acesso total.
Os investigadores sugeriram também que poderia usar uma ferramenta de hashing para determinar a palavra-passe anterior e, em seguida, restaurar a antiga palavra-passe para disfarçar o acesso. Contudo, a maioria das redes de domínios não permite a reutilização de palavras-passe por padrão.
Quando a Ars Technica contactou a Microsoft para obter um comentário, a resposta foi concisa:
A técnica descrita pressupõe que um invasor já tenha acesso de administrador.
Apesar de inicialmente parecer evasiva, a afirmação da Microsoft é acertada e leva-nos ao cerne da questão. Uma vez que um agente malicioso tenha acesso administrativo a uma rede, os potenciais danos e vias de ataque vão muito além de simples truques de redefinição de palavra-passe. Além disso, se uma rede for suficientemente robusta para impedir que um agente malicioso obtenha acesso administrativo, todo este cenário torna-se irrelevante.
Em suma, o nosso invasor precisaria de obter acesso administrativo a uma rede corporativa que utiliza um domínio Windows, localizar computadores que possam ter contas locais e, em seguida, criar perguntas de segurança para poder aceder novamente a esses computadores caso fosse detetado e bloqueado. Será que nos devemos preocupar com isto quando o acesso de administrador já lhe confere a capacidade de causar danos muito maiores?
Então, esta situação aplica-se a mim?
Se usa um computador com Windows 10 em casa, a resposta curta é quase certamente não. E aqui está a razão:
O mais provável é que o seu computador doméstico não esteja integrado num domínio. Mesmo que estivesse, teria de usar uma conta local. A maioria dos utilizadores de Windows 10 utiliza uma conta Microsoft para iniciar sessão, pois o Windows 10 exige a utilização de uma conta Microsoft para que várias funcionalidades funcionem corretamente. Embora seja possível criar uma conta local, a Microsoft não a torna a opção mais evidente. Se utilizar uma conta Microsoft, não terá a opção de usar perguntas de reposição de palavra-passe.
Para tirar partido desta vulnerabilidade, alguém precisaria de acesso remoto ou físico ao seu computador. E com este nível de acesso, as perguntas de reposição de palavra-passe seriam a sua menor preocupação.
Portanto, é altamente improvável que esta pesquisa se aplique a si. No entanto, mesmo que utilize uma conta local associada a um domínio, tudo se resume a uma velha questão: quanta conveniência está disposto a sacrificar em prol da segurança? Por outro lado, quanta segurança deve sacrificar em nome da conveniência?
Neste caso, as hipóteses de um agente malicioso aceder ao seu equipamento e usar perguntas de segurança para obter controlo total são incrivelmente remotas. Por outro lado, a probabilidade de se esquecer da palavra-passe e necessitar das perguntas é ligeiramente maior. Analise a sua situação e tome a melhor decisão para si.