/https://www.ilsoftware.it/app/uploads/2025/03/domande-sicurezza-windows-non-sicure.jpg "Perché le domande di sicurezza di Windows 11 NON sono sicure")
Ogni volta che si crea un nuovo account locale in Windows, il sistema operativo chiede di specificare tre domande di sicurezza, utili per aiutare gli utenti a recuperare l’accesso in caso di smarrimento o dimenticanza della password. L’aspetto poco noto è che Windows 10 e Windows 11 memorizzano le domande di sicurezza e le corrispondenti risposte IN CHIARO, senza applicare alcuna forma di cifratura.
Perché consigliamo di NON impostare le domande di sicurezza in Windows
Ricorderete forse che in altri nostri articoli, quando si installa Windows 11 con un account locale, abbiamo consigliato di premere semplicemente il tasto Invio alla richiesta di impostazione di una password. Così facendo, è possibile saltare a piè pari la procedura (diversamente obbligatoria) che presuppone l’impostazione di tre domande di sicurezza in Windows (specificando le relative risposte…). Dopo l’avvio di Windows, si può usare il comando che segue per disattivare la richiesta delle domande di sicurezza per i nuovi account:
reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\System /v NoLocalPasswordResetQuestions /t REG_DWORD /d 1 /f
Da ultimo, è comunque bene associare una password a protezione dell’account locale specificato in fase di installazione del sistema operativo. Lo si può fare velocemente con i seguenti comandi:
whoami
net user nome-utente password
Il problema principale risiede che domande di sicurezza e risposte sono memorizzate come testo in chiaro all’interno del registro di sistema di Windows. Più precisamente, queste informazioni sono contenute in un file JSON all’interno della chiave SAM (Security Account Manager). SAM è una sottochiave del registro che contiene tutte le informazioni sugli utenti e sui gruppi di un sistema Windows locale.
Accesso alla chiave SAM tramite privilegi di sistema
L’accesso alla chiave SAM richiede privilegi di sistema, ma esistono diversi modi per ottenere tali privilegi in un tempo zero.
Nel nostro caso, utilizzando l’utilità Winget di Microsoft, installiamo il software System Informer:
winget install --id WinsiderSS.SystemInformer -e
Dopo aver avviato System Informer, clicchiamo sul menu System e poi scegliamo Run as. Nel campo Program scriviamo regedit quindi selezioniamo NT AUTHORITY\SYSTEM dal menu a tendina User name.
Accesso alle domande di sicurezza in chiaro
Cliccando su OK e portandosi nella sezione HKEY_LOCAL_MACHINE\SAM\SAM del registro di sistema è possibile estrarre le domande di sicurezza insieme con le relative risposte! Sono contenute, in chiaro, così come preannunciato in precedenza, nel valore ResetData delle chiavi che si trovano all’interno del percorso HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users.
Nell’esempio in figura, è possibile notare (opportunamente evidenziata) la risposta “Pongo” alla domanda “Qual è il nome del tuo primo animale domestico?”
Estrarre domande e risposte dal registro di sistema di Windows
Torniamo su System Informer quindi scegliamo di nuovo System, Run as, e scriviamo semplicemente cmd nel campo Program. Lasciamo selezionato NT AUTHORITY\SYSTEM nel sottostante menu a tendina User name.
A questo punto, nella finestra del prompt dei comandi aperta con i diritti SYSTEM, digitiamo quanto segue:
reg export HKLM\SAM\SAM\Domains\Account\Users %temp%\SAM.txt
notepad %temp%\SAM.txt
Cerchiamo quindi le occorrenze di ResetData e selezioniamo quanto riportato dopo "ResetData"=hex:. Copiamo il testo in memoria con la combinazione di tasti CTRL+C.
A questo punto usiamo gli strumenti che abbiamo presentato nella guida su CyberChef. In particolare provate questo link e nel riquadro Input incollate quanto estratto poco fa dal registro di sistema. Nel sottostante riquadro Output leggerete domande di sicurezza e risposte corrispondenti in chiaro.
Conclusioni
La morale è evidente: le domande di sicurezza di Windows non sono sicure e rappresentano un punto debole. È quindi sconsigliato impostarle.
Per la protezione dei dati sul singolo sistema, suggeriamo di abilitare BitLocker con TPM e PIN: in questo modo eventuali aggressori che avessero la disponibilità fisica del dispositivo non potranno neppure recuperare le password utilizzate a protezione di ogni singolo account o usare giochetti per reimpostare le password dimenticate in Windows.
/https://www.ilsoftware.it/app/uploads/2024/10/controllare-ultima-versione-windows-2.jpg "Windows 10: per la prima volta gli utenti globali scendono sotto il 60%")
/https://www.ilsoftware.it/app/uploads/2025/03/ILSOFTWARE-4.jpg "Windows 11 si ispira agli smartphone per facilitare il monitoraggio batterie")
/https://www.ilsoftware.it/app/uploads/2025/03/creazione-rapida-hyper-v-come-funziona.jpg "Creazione rapida Hyper-V: cos'è e come risolvere l'errore in avvio")
/https://www.ilsoftware.it/app/uploads/2025/03/conversione-transcodifica-audio-video-windows-powertoys.jpg "Arriva in Windows un incredibile tool Microsoft per la conversione audio e video, grazie ai PowerToys")