Sicherheitslücke bei der Passwortwiederherstellung: Betrifft sie mich?
Kürzlich haben Forschungsergebnisse ein potenzielles Sicherheitsproblem in Windows 10-Systemen aufgezeigt, bei dem die Funktion zur Passwortwiederherstellung durch Sicherheitsfragen missbraucht werden könnte. Diese Enthüllung hat zu Diskussionen über die Notwendigkeit geführt, diese Funktion zu deaktivieren. Für Privatanwender ist diese Maßnahme jedoch in der Regel nicht erforderlich.
Was genau ist das Problem?
Wie Ars Technica berichtete, wurde in Windows 10 die Möglichkeit implementiert, Sicherheitsfragen für lokale Konten einzurichten. Sicherheitsexperten haben diese Funktion analysiert und festgestellt, dass sie in Unternehmensnetzwerken potenzielle Schwachstellen aufweisen kann.
Dabei sind zwei wesentliche Aspekte zu berücksichtigen:
| Erstens | betrifft die Sicherheitslücke vor allem Computer, die mit einem Domänennetzwerk verbunden sind, wie sie typischerweise in Unternehmensumgebungen mit verwalteten Geräten vorkommen. |
| Zweitens | bezieht sich das Problem auf lokale Konten, was besonders relevant ist, da in Domänenumgebungen normalerweise zentrale Domänenkonten anstelle von lokalen Konten verwendet werden. Sicherheitsfragen sind für Domänenkonten standardmäßig deaktiviert. |
Ein weiterer wichtiger Punkt ist, dass ein potenzieller Angreifer zunächst administrativen Zugriff auf das Netzwerk erlangen müsste. Danach könnte er Rechner mit lokalen Konten identifizieren und für diese Konten Sicherheitsfragen hinzufügen.
Warum dieser Aufwand?
Die Idee dahinter ist, dass, wenn die Administratoren den unerlaubten Zugriff bemerken und die Zugangsdaten ändern, der Angreifer über die eingerichteten Sicherheitsfragen die Passwörter zurücksetzen und den vollen Zugriff wiederherstellen könnte.
Die Forscher haben vorgeschlagen, dass mithilfe eines Hash-Tools auch das vorherige Passwort ermittelt und wiederhergestellt werden könnte, um den Zugriff zu verschleiern. Allerdings erlauben die meisten Domänennetzwerke standardmäßig keine wiederverwendeten Passwörter.
Auf die Bitte von Ars Technica um eine Stellungnahme antwortete Microsoft kurz:
Die beschriebene Methode setzt voraus, dass der Angreifer bereits über Administratorrechte verfügt.
Auch wenn dies auf den ersten Blick harsch wirken mag, trifft Microsoft mit dieser Aussage den Kern des Problems. Hat ein Angreifer erst einmal Administratorrechte in einem Netzwerk, sind die potenziellen Schäden und Angriffsmöglichkeiten weitaus größer als nur das Zurücksetzen von Passwörtern. Ist ein Netzwerk ausreichend geschützt, um einen administrativen Zugriff zu verhindern, ist das Problem gegenstandslos.
Zusammenfassend lässt sich sagen, dass ein Angreifer für diesen speziellen Angriff administrativen Zugriff auf ein Unternehmensnetzwerk mit Windows-Domäne erlangen, lokale Konten aufspüren und Sicherheitsfragen erstellen müsste, um bei einer Entdeckung und Sperrung der Konten wieder Zugriff zu erhalten. Wenn ein Angreifer jedoch über Administratorrechte verfügt, kann er ohnehin weitaus größeren Schaden anrichten.
Was bedeutet das für mich?
Wenn Sie Windows 10 auf einem privaten Computer verwenden, ist die Wahrscheinlichkeit, dass diese Sicherheitslücke Sie betrifft, sehr gering. Hier die Gründe:
| Ihr Heim-PC | ist höchstwahrscheinlich keiner Domäne beigetreten. |
| Selbst wenn | dies der Fall wäre, müssten Sie ein lokales Konto verwenden. Die meisten Windows 10-Nutzer verwenden jedoch ein Microsoft-Konto, da dies für viele Funktionen erforderlich ist. Ein lokales Konto kann zwar eingerichtet werden, ist aber nicht die gängigste Option. Mit einem Microsoft-Konto ist die Verwendung von Sicherheitsfragen zur Passwortwiederherstellung nicht möglich. |
| Darüber hinaus | benötigt ein Angreifer entweder Remote- oder physischen Zugriff auf Ihren Computer. Bei dieser Zugriffsebene sind Sicherheitsfragen zur Passwortwiederherstellung Ihr geringstes Problem. |
Die Wahrscheinlichkeit, dass diese spezifische Sicherheitslücke Sie betrifft, ist also sehr gering. Und selbst wenn Sie ein lokales Konto in einer Domäne verwenden, stellt sich die Frage, wie viel Komfort man für die Sicherheit opfern sollte und umgekehrt, wie viel Sicherheit für Bequemlichkeit. In diesem Fall ist das Risiko, dass ein Angreifer Ihren Computer kompromittiert und über Sicherheitsfragen die Kontrolle übernimmt, äußerst gering. Die Wahrscheinlichkeit, dass Sie Ihr Passwort vergessen und die Fragen benötigen, ist etwas höher. Wägen Sie Ihre persönliche Situation ab und treffen Sie eine Entscheidung, die Ihren Bedürfnissen entspricht.