Vjerojatno ste primijetili da se u svoje računalo s Windowsima možete prijaviti čak i kada niste spojeni na internet. To je moguće jer Windowsi standardno pohranjuju vaše vjerodajnice za prijavu lokalno na računalu. Radi se o funkcionalnosti prisutnoj još od Windows NT 4 verzije, čija je glavna svrha omogućiti vam pristup računalu u svim uvjetima.

Kako funkcionira lokalna pohrana vjerodajnica?

Ovo lokalno spremanje podataka za prijavu odnosi se na tradicionalna Active Directory (AD) okruženja, a pretpostavlja se da sličan mehanizam postoji i za moderne prijave putem oblaka, kao što je Microsoft Entra ID (ranije Azure AD). Iako mehanizam nije identičan onome što vidimo u "Upravitelju vjerodajnica" (Credential Manager), princip je sličan – lokalna pohrana podataka za autentifikaciju. Kod prijava u oblak poput Entra ID-a, autentifikacija se često oslanja i na sigurnosne tokene (umjesto samo lozinke). Ako sustav lokalno posjeduje važeći token, može ga iskoristiti za prijavu bez potrebe za provjerom putem interneta.

Međutim, ova praktičnost dolazi uz određene sigurnosne implikacije. Budući da su vjerodajnice pohranjene lokalno, postoji mogućnost prijave čak i ako je lozinka u međuvremenu promijenjena ili opozvana na centralnom sustavu (kao što je AD ili Entra ID), sve dok računalo ne uspostavi vezu i ne osvježi informacije. Ovo je standardno ponašanje sustava, kako navode i sudionici rasprave na forumu Ars Technica.

Problem leži u tome što većina kućnih korisnika ne upravlja vlastitom Entra ID i Intune infrastrukturom, pa Microsoft koristi zadane postavke koje su usmjerene na maksimalnu dostupnost i sprječavanje zaključavanja korisnika izvan sustava.

Postoji rješenje, ali...

S druge strane, tvrtke i napredniji korisnici koji svoja računala pridruže vlastitom Entra ID okruženju imaju mogućnost konfigurirati Windows 10 i 11 tako da uvijek zahtijevaju online provjeru prilikom prijave. Ovo značajno povećava sigurnost jer osigurava da se koriste samo najnovije vjerodajnice i sigurnosne politike.

No, ova postavka ima i manu. Ako kojim slučajem mrežna veza (bilo žična ili Wi-Fi) nije dostupna prilikom prijave, korisnik se neće moći prijaviti standardnom lozinkom. U tom slučaju, pristup je moguć jedino ako je prethodno postavljen PIN ili neka od Windows Hello metoda poput otiska prsta ili prepoznavanja lica. Dodatna komplikacija može nastati kod Wi-Fi veza, gdje je ponekad potrebno posebno konfigurirati sustav da se spoji na bežičnu mrežu prije same prijave korisnika.

Čak i u scenarijima poput udaljenog pristupa (RDP), gdje je računalo kojem se pristupa očito online unutar lokalne mreže, mehanizam cacheiranja vjerodajnica i dalje je prisutan kao zadana postavka. To potvrđuje da je lokalna pohrana vjerodajnica duboko ukorijenjena funkcionalnost Windowsa.

Sve u svemu, može se reći da Windowsi nude kompromis između praktičnosti i sigurnosti kada je riječ o prijavama. Dok cacheiranje omogućuje lakši pristup i rad u offline uvjetima, administratori i sigurnosno osviješteni korisnici trebali bi biti svjesni ovog ponašanja i potencijalnih rizika te razmotriti strože postavke ako njihovo okruženje to zahtijeva i dopušta.