Windows RDP允许您使用已撤销密码连接。微软同意。

当与Microsoft或Azure帐户连接的Windows计算机配置以激活访问桌面区域的访问时，使用吊销密码进行连接的密码可能会发生。在这种情况下，用户可以使用与本地存储的识别信息有关的专用密码连接到RDP。另外，用户可以使用用于连接到机器的在线帐户标识信息进行连接。

但是，即使用户从其帐户更改了密码，它仍然无限期地对RDP连接有效。韦德报道说，在某些情况下，有几个较旧的密码将起作用，而最近的密码则不会。结果：持续的RDP访问绕过云的验证，多因素身份验证和有条件访问策略。

韦德（Wade）和另一位Windows安全专家说，在Microsoft或Azure帐户受到损害的情况下，鲜为人知的行为可能是昂贵的，例如，当公开披露密码的密码时。在这种情况下，驾驶的第一行是修改密码，以防止对手使用它来访问敏感资源。尽管密码更改可防止对手连接到Microsoft或Azure帐户，但旧密码将通过RDP无限期地使对手访问用户机器。

韦德在他的报告中写道：“这在密码曾经被缓存的任何系统中创造了一个无声而被盗的门。” “即使攻击者从未访问过此系统，Windows也会始终信任密码。”

安全社会分析脆弱性的首席分析师威尔·多曼（Will Dormann）表示同意。

他在在线采访中写道：“从安全的角度来看，这没有任何意义。” “如果我是sysadmin，我希望当我从一个帐户更改密码时，则该帐户的旧信息在任何地方都无法使用。但事实并非如此。”

识别缓存是一个问题

使一切成为可能的机制是本地机器硬盘上的标识缓存。用户第一次使用Microsoft或Azure帐户标识信息连接时，RDP将在线确认密码的有效性。然后，Windows将标识信息在本地计算机上存储在安全密码中。从这一刻开始，Windows将通过将其与本地存储的识别信息进行比较，而无需在线搜索，将验证它在RDP连接期间输入的任何密码。这样，被撤销的密码将始终通过RDP提供远程访问。