Windowsのリモートデスクトップ機能（RDP）で、ユーザーがパスワードを変更しても古いパスワードでログインが可能な場合があると、独立系研究者が報告しました。これは脆弱性ではなく設計上の仕様とMicrosoftは回答しており、システムがオフラインであっても少なくとも1つのアカウントがログインできるようにするためとしています。しかしこの仕様は、一般的なセキュリティの認識と食い違い、アカウントが乗っ取られてもアクセスが遮断されないリスクがあると批判されています。Microsoftは仕様変更の予定はないと述べています。