独立安全研究员 Daniel Wade 向 Microsoft 安全响应中心报告称,在某些情况下,Windows 远程桌面协议(RDP)仍然接受旧密码进行远程访问,即使用户因密码泄露或常规安全维护而更改了密码。Wade 的调查结果被 Ars Technica 详细报道,警告这种行为破坏了用户对密码更改的信任,削弱了通过更改密码阻止未经授权访问的安全防线。
微软已确认,RDP 允许用户使用已更改或撤销的密码登录 Windows 计算机。微软方面表示,这并非安全漏洞,而是“有意的设计决策”,且没有计划改变这一行为。只要密码与任何先前有效的缓存凭证匹配,即使该凭证已被更改或撤销,系统仍会授予访问权限。微软发言人证实,公司至少从2023年8月起就已意识到该问题,但坚持认为立即更改此行为可能会破坏与现有应用程序的兼容性
查阅相关资料发现,类似问题早在2020年就有用户在技术论坛反馈。该问题主要涉及登录微软账户的设备。用户“dyasta”表示,使用微软账户登录 Windows 系统时,更改密码后旧密码仍能在先前已认证的设备上无限期使用。他举例称,自己一年前更改的密码至今仍可用旧密码登录系统。
有用户推测,这与系统的凭证缓存机制有关。Windows 为了支持无网络访问时的登录,会缓存用户凭证,但无限期保留旧凭证在安全层面难以解释,因为用户通常期望密码更改后旧凭证立即失效。实测显示,在 Windows 11 登录微软账号时,修改密码后旧密码仍可登录。
论坛上猜测微软账户的运作机制与活动目录域类似。为确保计算机在无网络连接时用户仍能登录,系统会缓存微软账户凭证。例如,在 Windows 8 系统中,若通过网页更改微软账户密码,缓存的登录凭证不会自动更新,必须使用新密码成功登录 Windows 系统后才会刷新缓存。此设计旨在防止计算机完全失去网络连接且无本地管理员账户时,用户因密码过期而无法访问系统,也无法修复网络连接进行新凭证验证。
因此,新密码将在首次登录时替换旧密码,密码更改最终会使旧凭证失效,只是失效时机并非用户预期的密码更改瞬间。
在 Microsoft 账户网站更改密码后,必须通过注销或锁定系统,并使用新密码重新登录,才能更新本地计算机上的密码缓存。不建议使用 PIN 码或图片密码登录,因为这些方式不会触发对微软身份验证服务器的实际密码验证,系统仍会接受缓存的旧密码。
因此,当您在线更改密码时,建议始终注销或锁定系统,并至少使用 Microsoft 账户密码在本地登录一次,以确保凭证及时更新,防止旧密码继续被接受。
参考链接:
https://cybersecurityboard.com/windows-rdp-bug-allows-login-with-expired-passwords
https://www.dell.com/support/kbdoc/zh-cn/000134994
https://security.stackexchange.com/questions/230860/after-changing-microsoft-password-one-can-still-login-to-previously-authenticat/230891#230891
-End-
如果觉得我的分享有用
[点赞+分享+关注]
原文始发于微信公众号(网络个人修炼):Windows RDP 被曝使用旧密码仍可登录:微软称“这是设计如此”
评论