据报道,Windows的远程桌面协议(RDP)被发现允许用户使用已被撤销的密码进行登录,而微软对此表示不计划作出更改。
安全研究员Daniel Wade指出,这种设计决策违反了人们对密码安全的普遍期待,即密码一旦更改,旧密码不应再能访问任何设备或账户。然而,RDP在很多情况下仍会信任这些旧密码,从而为攻击者提供了潜在的后门。这种行为被视为一种设计选择,以确保用户始终能够登录系统,而不被视为安全漏洞。
微软回应称,这一行为是为了确保至少有一个用户账户能够始终登录系统,即使系统离线很长时间。结果是,即使用户更改了账户密码,旧密码仍然可以无限期地用于RDP登录。
这种情况引发了对用户安全的严重担忧,特别是在账户密码被泄露的情况下,攻击者可能利用旧密码通过RDP访问用户的机器,而不会被多因素认证或条件访问策略阻止。