Windows Uzak Masaüstü Protokolü (RDP) kullanıcıları şaşırtan bir davranış sergiliyor. Yapılan şifre değişikliklerine rağmen, bazı durumlarda sistemlere iptal edilmiş eski şifrelerle hala erişim sağlanabildiği ortaya çıktı.
Normalde bir şifre değiştirildiğinde, eski şifrenin artık hiçbir cihazda veya hizmette geçerli olmaması beklenir. Bu, özellikle hesap güvenliği tehlikeye girdiğinde atılan ilk ve en önemli adımlardan biridir.
Windows işletim sistemlerinin yerleşik bir özelliği olan RDP, kullanıcıların uzaktaki bir bilgisayara sanki önündeymiş gibi bağlanmasını ve kontrol etmesini sağlar. Ancak Microsoft, RDP'nin bazı durumlarda kullanıcı şifreyi değiştirdikten sonra bile eski şifreye güvenmeye devam edeceğini belirtiyor.
Bu durumun fark edilmesi üzerine, konu Microsoft Güvenlik Yanıt Merkezi'ne bildirildi. Bildirimde, bu davranışın teknik detayları paylaşılırken, bir şifre değiştirildiğinde eski şifrenin artık erişim yetkisi vermemesi yönündeki genel beklentiye aykırı olduğu vurgulandı.
Microsoft'tan gelen yanıtta ise bu davranışın bir güvenlik açığı olarak değerlendirilmediği belirtildi. Şirket yetkilileri, bu durumun "tasarım kararı" olduğunu ve özellikle sistem uzun süre çevrimdışı kaldığında en az bir kullanıcı hesabının her zaman oturum açabilmesini sağlamak amacıyla böyle bir yol izlendiğini açıkladı.
Bu nedenle, Microsoft mühendislerinin bu davranışı değiştirmeye yönelik herhangi bir planı bulunmadığı bildirildi.
Her ne kadar Microsoft bunu bir güvenlik açığı olarak görmese de, kullanıcılar için kafa karıştırıcı ve potansiyel güvenlik riskleri barındıran bu durum, şifre güvenliği konusundaki beklentileri yeniden gözden geçirmemize neden olabilir.
