还记得我们曾经讨论过“密码已死”吗？如果你觉得需要更多的证据，那么戴尔公司安全部门(SecureWorks)发现的这款名为“万能钥匙”(Skeleton Key)的恶意软件，一定能够刷新你的三观。由于其结合了在活动目录中安装流氓软件的方式，攻击者将能够在无需进一步验证的情况下，以域内任意用户的身份“登录”。

　　值得注意的是，在恶意软件的安装阶段，需要被授予管理员权限、或者通过服务器上的某个漏洞而实现。

　　不过，这把“万能钥匙”实际上并未将自己主动安装至文件系统。相反，它只是作为活动目录(Active Directory)的一个内存补丁的形式而存在。

　　糟糕的是，这种“访问”并不会被记录在案，这使得对它的检测变得更加困难——即使通过传统的网络监控手段也难以识别出这款恶意软件(因为它根本不产生任何网络流量)。

　　好消息是，截至目前，该恶意软件并不会在重启系统后存活(未来就难说了)。此外，由于需要在安装时被授予管理员权限，因此大家最好还是在操作时多留个心眼。

　　当然，研究人员的建议是，由于该恶意软件在面对双因素认证时毫无用处(比如连接至服务器、虚拟专用网、以及电子邮件)，因此大家最好还是不要把密码作为唯一主要的安全手段。