El mecanismo estándar de separación de roles en Windows para un administrador local es tener una sola cuenta, pero protegerlo con UAC y configurarlo para Notificar siempre si se desea mayor seguridad. Desafortunadamente, este mecanismo es perpetuamente vulnerable a los desvíos. Consulte Microsoft dijo UAC No es una barrera de seguridad. Pero ¿en qué casos?
Para evitar los desvíos, una estrategia más segura es tener dos cuentas de usuario separadas, una admin y una no admin, para el usuario. Entonces no hay una omisión de UAC, excepto las vulnerabilidades ocasionales de la escalada de privilegios (mucho más raras que las omisiones de UAC dentro de la cuenta) encontradas en Windows.
Desafortunadamente, esa estrategia más segura también es más problemática, porque el usuario debe ingresar una contraseña cada vez que recibe un mensaje de elevación, en lugar de simplemente hacer clic en un botón. Así que mi idea es la siguiente: haga que tanto el administrador como la cuenta que no es administrador compartan la misma contraseña. Cuando se muestra la solicitud de ingreso de la contraseña de la cuenta del administrador, si el usuario simplemente hace clic en Aceptar con una contraseña en blanco, Windows primero debe intentar usar la contraseña de la cuenta que no es de administrador (ya iniciada, por supuesto) de forma predeterminada.
Por supuesto, ya puedes crear dos cuentas con la misma contraseña. El cambio que propongo es una mejora del mecanismo de elevación, para asumir de manera optimista que usó la misma contraseña para ambas cuentas.
Parece que esto combinaría la conveniencia de UX de una sola cuenta (solo haga clic en un botón para elevar) con la seguridad de cuentas separadas. Mi pregunta es: ¿es eso realmente cierto? Si no, ¿qué me perdí? P.ej. El tipo de respuesta que busco es: Tu idea está rota porque ... (inserta mi error lógico aquí).
Como un beneficio adicional sobre la estrategia estándar de cuentas separadas con contraseñas separadas, mi idea evitaría el phishing de las contraseñas con malware no elevado, ya que el usuario está condicionado a solo hacer clic en un botón, no ingresar su contraseña en los avisos de elevación.