Discuterò di eliminarli. L'unica cosa che impedisce l'utilizzo di questi account è:
Inactive administrators cannot log in.
E questa è una difesa contro il bruto forzare (o ingannare) un'autenticazione, eppure non difende dall'escalation dei privilegi.
Le linee guida OWASP per le applicazioni web sostengono che un client non dovrebbe mai tenere una sessione con autenticazione per due account separati. Ciò impedirebbe l'escalation dei privilegi nella maggior parte dei casi. Tuttavia, di gran lunga, non tutte le applicazioni Web seguono le linee guida OWASP.
Pertanto, mantenere gli account inattivi ma ancora privilegiati è una possibilità di un vettore di attacco.
L'altro lato della medaglia è che la procedura per cancellare i conti può consumare risorse o, addirittura, essere insicure di per sé. Ma riuscire a produrre un account eliminando una procedura vulnerabile a un attacco è molto meno probabile che essere colpito da un'escalation di privilegi.
Solo non effettua la procedura di eliminazione periodica dell'account per eliminare gli account inattivi effettuando il primo accesso a un account amministratore attivo sulla rete.