Consentire a qualsiasi utente di sbloccarne un altro non è sicuramente una buona pratica e introduce il rischio che l'uso dello "script" possa consentire lo sblocco di potenziali sblocchi non autorizzati (ad esempio, aggressori malintenzionati che eseguono il tentativo di indovinare la password). Ad esempio, se un utente malintenzionato indovina le password e blocca un account e il proprietario reale chiede a un collega (non IT / manager) di sbloccarlo, il tentativo di intrusione potrebbe non essere rilevato. I responsabili IT / "dovrebbero" essere addestrati ad essere in allarme per blocchi sospetti con cause sconosciute.
Detto questo, c'è una certa validità per il commento che in una piccola organizzazione questo potrebbe essere accettabile, ma non si adatta bene a un POV di sicurezza in organizzazioni più grandi. Se l'organizzazione intende andare avanti con questa pratica, dovrebbe esserci un certo livello di addestramento per la consapevolezza della sicurezza che accompagna il suo uso e forse una procedura per la documentazione manuale degli eventi o la registrazione automatica (e la successiva revisione di tali registri).