web-dev-qa-db-ja.com

Microsoftパスワードを変更した後でも、以前に認証されたWindowsデバイスに古いパスワードで無期限にログインできます。どうして?

Windows用のMicrosoftアカウントを使用している場合、パスワードを変更した後でも、以前に認証されたデバイスで古いパスワードを無期限に使用できることに他の誰かが気付いたことがありますか? 1年前に変更したものがありますが、それでもログインできます。変更はWindowsの設定から行われました。

ネットワークアクセスなしのログイン用の資格情報のキャッシュがあると確信していますが、無期限に保持することは意味がありません。 Microsoftアカウントにバインドされたローカルアカウントの資格情報のセカンダリセットは、パスワードを変更した後でも静的である可能性があります(そのため、ローカルアカウントのパスワードは更新されません)。しかし、これはセキュリティ面で間違っているようです。ユーザーは、パスワードの変更によって古い資格情報が無効になることを期待します。

6
dyasta

マイクロソフトアカウント

これに関する公式のオンラインドキュメントを見つけるのは難しいですが、以下で説明するActive Directoryドメインと同様に機能するようです。 Leon PlesniarskiとByron WrightによるMicrosoft Windows 10のMicrosoft Specialist Guide(Exam 70-697、Configuring Windows Devices)によると:

キャッシュされた資格情報は、ドメイン以外のネットワークでMicrosoftアカウントを使用してサインインする場合にも使用されます。 Microsoftアカウントの資格情報がキャッシュされているため、コンピューターがインターネットへのアクセスを妨害しない場合でもサインインできます。

Top Password Software、Inc.には次のように記載されています ブログ投稿 (Windows 8の場合):

キャッシュされたログオン資格情報は、それ自体が期限切れになることはありません。 https://login.live.com を使用してオンラインでMicrosoftアカウントのパスワードを変更した場合、キャッシュされたログオン資格情報は、新しいパスワードでWindows 8に正常にログインするまで更新されません。新しいパスワードでWindows 8に正常にログインすると、キャッシュされたログオン資格情報が更新されます。

これはかなり理にかなっているようです。コンピュータが(ハードウェア障害または構成エラーのために)ネットワーク接続を完全に失い、使用可能なローカル管理者アカウントがない場合、パスワードの有効期限が切れるとオペレーティングシステムへのアクセスが完全に失われます。これにより、インターネット経由で新しい資格情報を確認するために必要なネットワーク接続を修正できなくなります。

キャッシュは時間制限に基づいて期限切れになりませんが、最初のログイン時に新しいパスワードで以前のパスワードが置き換えられるため、以前のパスワードをすべて使用できるわけではありません。このように、パスワードを変更すると古い資格情報が無効になります。あなたがそれを期待した瞬間だけではありません。

Windows 8.1以降、MicrosoftはデフォルトでWDigestを無効にし、LSA保護を有効にしているため、資格情報をローカルに保存することはそれほど問題ではありません。詳細情報on ミミカッツ攻撃の防止 Panagiotis Gkatziroulis著。

Active Directoryドメイン

から キャッシュおよび保存された資格情報の技術概要

Windowsログオンのキャッシュされたパスワード検証

これらのベリファイアは、認証のために別のコンピューターに提示できないため、資格情報ではなく、資格情報をローカルで確認するためにのみ使用できます。これらはローカルコンピューターのレジストリに保存され、ユーザーのログオン中にドメインに参加しているコンピューターがAD DSに接続できないときに資格情報の検証を提供します。これらの「キャッシュされたログオン」、より具体的にはキャッシュされたドメインアカウント情報は、セキュリティポリシー設定-- インタラクティブログオン:キャッシュする以前のログオンの数(ドメインコントローラーが利用できない場合) を使用して管理できます。

ユーザーは以前にキャッシュされたベリファイアを一度は使用できません

  • ドメインに参加しているコンピューターは、ユーザーのログオン中にDC=にアクセスでき、新しいドメインアカウント情報をキャッシュしています。
  • 「キャッシュする以前のログオン数」ポリシーで指定された数より多いユーザーが、ユーザーの後にログインしました。

ただし、このキャッシュが期限切れになる時間ベースの制限はないようです。ユーザーの数をゼロに設定することもできますが、DCが利用できない場合、誰もログインできません。これは、ほとんどの社内デスクトップではおそらく問題ありませんが、そうではありません。ラップトップで良い。

2
Esa Jokinen

Microsoftアカウントのパスワードを変更しても、PINまたはHelloを使用してWindowsにログインする場合のみ、古いパスワードは受け入れられます無期限新しいパスワードでWindowsにログインします。

1
dyasta