Gli utenti che non conoscono le loro autorizzazioni sono al massimo la sicurezza per oscurità, e potrebbe effettivamente rivelarsi un rischio maggiore per la sicurezza, in ultima analisi. Gli utenti vogliono fare le cose, questo è quello per cui sono pagati. Se non possono, ci sono due possibili scenari:
a) Gli utenti si imbattono in problemi oscuri ("Ho salvato un file qua e là e scompare"), cercano di "risolverli" da soli e diventano creativi, introducendo possibilmente tutti i tipi di incubi di sicurezza e manutenzione .
b) Gli utenti si imbattono in problemi, ma possono scoprire che non hanno il permesso di fare ciò che vogliono; in genere, andranno a vedere chi è responsabile della sicurezza e chiederanno loro di ricevere le autorizzazioni appropriate, a quel punto è possibile intervenire e concedere tali autorizzazioni in modo sano, o mostrare loro il modo corretto per raggiungere i loro obiettivi .
Inoltre, se essere in grado di visualizzare le proprie autorizzazioni effettive rende un sistema vulnerabile, le autorizzazioni sono imperfette o non correttamente applicate. Dopotutto, un utente malintenzionato non ha bisogno di verificare le autorizzazioni, può semplicemente provare a fare quello che vuole e vedere se ha successo.
Tuttavia visualizzare le autorizzazioni di qualcun altro è una storia diversa: significa che dopo aver analizzato un account non privilegiato, puoi scoprire rapidamente quali altri account sono più utili per te (autorizzazioni amministrative , accesso a file interessanti, ecc.) e quindi attivare un attacco mirato appositamente per quegli utenti.