Il meccanismo standard di separazione dei ruoli in Windows per un amministratore locale consiste nell'avere un singolo account, ma proteggerlo usando l'UAC e configurarlo per Notifica sempre se si desidera una maggiore sicurezza. Sfortunatamente, questo meccanismo è perennemente vulnerabile agli aggiramenti. Vedi Microsoft ha detto UAC non è una barriera di sicurezza. Ma in quali casi?
Per evitare i bypass, una strategia più sicura consiste nell'avere due account utente separati, un amministratore e uno non amministratore, per l'utente. Quindi non esiste un bypass UAC, tranne che per occasionali vulnerabilità di escalation dei privilegi (molto più rare rispetto ai bypass UAC intra-account) che si trovano in Windows.
Purtroppo, questa strategia più sicura è anche più di una seccatura, perché l'utente deve inserire una password ogni volta che riceve una richiesta di elevazione, invece di fare semplicemente clic su un pulsante. Quindi la mia idea è questa: avere sia l'amministratore che l'account non amministratore condividono la stessa password. Quando viene visualizzato il prompt di immissione della password dell'account amministratore, se l'utente fa semplicemente clic su OK con una password vuota, per prima cosa Windows dovrebbe provare a utilizzare la password dell'account non amministratore già utilizzata (già registrata, ovviamente).
Naturalmente, puoi già creare due account con la stessa password. Il cambiamento che sto proponendo è un miglioramento del meccanismo di elevazione, per assumere ottimisticamente che hai usato la stessa password per entrambi gli account.
Sembra che questo unirebbe la convenienza UX di un singolo account (basta fare clic su un pulsante per elevare) con la sicurezza di account separati. La mia domanda è: è vero? Se no, cosa mi sono perso? Per esempio. il tipo di risposta che sto cercando è: la tua idea è rotta perché ... (inserisci il mio errore logico qui).
Come ulteriore vantaggio rispetto alla strategia standard di account separati con password separate, la mia idea previene il phishing delle password da parte di malware non elevato, poiché l'utente è condizionato a fare semplicemente clic su un pulsante, non inserire la password nei prompt di elevazione.