问更改Microsoft密码后，仍然可以无限期地登录到以前使用旧密码通过身份验证的Windows设备。为什么？

EN

Microsoft帐户

虽然很难找到关于这方面的官方在线文档，但它的工作方式似乎类似于下面描述的Active域。根据Leon Plesniarski & Byron Wright编写的Microsoft Windows 10专家指南(考试70-697，配置Windows设备)：

当您选择使用非域网络中的Microsoft帐户登录时，也会使用缓存的凭据。Microsoft帐户的缓存凭据确保您可以在计算机无法访问Internet时登录。

顶级密码软件公司( Top，Inc. .)的博客帖子声明(适用于Windows 8)：

缓存的登录凭据本身不会过期。如果通过https://login.live.com在线更改Microsoft帐户密码，则缓存的登录凭据在成功使用新密码登录到Windows 8之前不会更新。使用新密码成功登录到Windows 8后，缓存的登录凭据将被更新。

这似乎很合理:如果计算机完全失去网络连接(由于硬件故障或配置错误)，并且没有可用的本地管理员帐户，您将在密码过期时完全失去对操作系统的访问。这也使您无法修复在Internet上检查新凭据所需的网络连接。

尽管缓存不会根据时间限制过期，但这并不意味着您可以使用所有以前的密码，因为新密码将在第一次登录时用它代替以前的密码。这样，密码更改就会使旧凭据失效，而不仅仅是在您预期的时候。

由于从Windows8.1开始，微软已经禁用了WDigest，默认启用了LSA保护，因此在本地存储凭据就不那么麻烦了。更多信息，例如关于防止Mimikatz攻击的Panagiotis Gkatziroulis。

Active域

来自缓存和存储凭据技术概述缓存和存储凭据技术概述：

Windows登录缓存密码验证器--这些验证器不是凭据，因为它们不能显示给另一台计算机进行身份验证，而且只能用于本地验证凭据。它们存储在本地计算机的注册表中，并在用户登录期间域连接计算机无法连接到AD DS时提供凭据验证。这些“缓存登录”，或者更具体地说，是缓存域帐户信息，可以使用安全策略设置交互式登录:要缓存的先前登录数(如果域控制器不可用)交互式登录:要缓存的先前登录数(如果域控制器不可用)来管理。

用户不能使用旧的缓存验证器一次

• 加入域的计算机能够在用户登录期间与DC联系，缓存新的域帐户信息。
• 比“要缓存的前一个登录数”策略中指定的用户在用户之后登录的用户更多。

但是，该缓存似乎没有基于时间的过期限制。您可以将用户数设置为零，但如果没有DC可用，则没有人能够登录。对于大多数办公台式机来说，这可能是可以接受的，但对笔记本电脑就不是那么好了。

如果您更改Microsoft帐户密码，但只使用PIN或Hello登录到Windows，则您的旧密码将被无限期地接受，直到您实际使用新密码登录到Windows为止。