最近，一组研究人员描述了一个场景，其中密码恢复问题被用来侵入Windows10 PC。这导致一些人建议禁用该功能。但如果您是家用计算机用户，则不需要这样做。

那么，这是怎么回事？

正如Ars Technica首次报道的那样，Windows10在过去的一年里增加了在本地账户上设置密码恢复问题的选项。安全研究人员对此进行了深入研究，发现在企业网络中，这可能会导致潜在的漏洞。

一开始，你就可以在那里发现两个重要的点：

首先，整个方案依赖于加入到域网络的计算机-您可以在具有托管计算机的企业网络中找到这种类型的计算机。 其次，该漏洞适用于本地帐户。这特别有趣，因为如果您的PC是域的一部分，那么几乎可以肯定您使用的是集中域用户帐户，而不是本地帐户。默认情况下，域帐户上不允许出现安全问题。

还有第三点更重要。所有这一切都需要恶意攻击者首先获得网络管理员级别的访问权限。然后，他们可以从那里识别仍具有本地帐户的连接到网络的计算机，然后向这些帐户添加安全问题。

何必费事呢？

其想法是，如果管理员发现并撤销恶意行为者的访问权限，随后更改所有密码，则从理论上讲，行为者可以重新进入网络访问这些机器，并使用他们的自定义问题来重置这些密码并重新获得完全访问权限。

研究人员建议，他们还可以使用散列工具来确定之前的密码，然后恢复旧密码以隐藏他们的访问权限。这里的问题是，默认情况下，大多数域网络不允许重复使用密码。

当Ars Technica要求微软置评时，微软的回应很短：

虽然乍一看这似乎很迟钝，但微软的暗示是正确的，它把我们带到了问题的真正症结所在。一旦恶意行为者在网络上拥有管理级访问权限，潜在的破坏和攻击途径就远远超出了简单的密码重置技巧。如果网络足够强大，可以防止恶意行为者获得管理级别，那么所有这些都是没有意义的。

因此，最终，我们的恶意攻击者需要获得对使用Windows域的企业网络的管理员级别访问权限，查找可能在其上具有本地帐户的计算机，然后创建安全问题，以便在发现并锁定这些计算机时能够重新进入这些计算机。我们应该担心这一点，因为他们的管理员级别访问权限已经让他们有能力造成更大的伤害。

明白了。那么，这适用于我吗？

如果你在家里使用的是Windows10电脑，简短的答案几乎肯定是没有。原因如下：

您的家庭PC很可能未加入域。 即使是这样，你也必须使用本地帐户，而Windows 10上的大多数人可能都在使用Microsoft帐户登录。这是因为Windows 10需要使用Microsoft帐户才能使许多功能正常工作。虽然你可以采取几个额外的步骤来创建一个本地帐户，但微软并没有把它作为最明显的选择。如果您使用的是Microsoft帐户，则无法选择使用密码重置问题。 要利用这一点，需要有人能够远程或物理访问您的PC。有了这样的访问级别，密码重置问题是您最不担心的。

所以，这项研究很有可能不适用于你。但是，即使你使用的是加入域的本地帐户，所有这些都可以归结为一组古老的问题。为了安全起见，你应该放弃多少便利呢？相反，为了方便，您应该放弃多少安全性？

在这种情况下，不良行为者访问您的计算机并使用安全问题获得完全控制的可能性微乎其微。而且忘记密码和需要回答问题的几率会稍高一些。评估一下你的情况，然后做出最适合你的选择。