La clave de atención del sistema es principalmente un remanente histórico de los días de juventud de los ingenieros que diseñaron el SAK. Estos ingenieros, cuando piensan en seguridad, en realidad piensan en los momentos en que estaban incursionando en seguridad, y eso era cuando eran estudiantes. Más precisamente, cuando eran estudiantes en los años noventa. El último elemento es importante: en la década de 1990, los estudiantes generalmente no tenían computadoras conectadas en red, en particular computadoras portátiles; más comúnmente, los estudiantes compartían una docena de estaciones de trabajo en una sala dedicada. Los estudiantes, siendo estudiantes, se involucraron en el tipo de cosas que hacen los estudiantes, en particular colocando trampas y bromas entre ellos. "Robar" la contraseña de un compañero de estudios era un juego común.
Y juego aquí hay una palabra importante. El punto no era realmente tener la contraseña para realizar travesuras, sino demostrar habilidades técnicas con propósitos de jactancia (la mayoría de las actividades humanas, al menos de los hombres, son fundamentales para obtener o mantener el estatus de hombre alfa, incluso hasta el punto de absurdo). porque las salas de computación de la década de 1990 estaban singularmente desprovistas de cualquier mujer que pudiera haber sido cortejada por tal despliegue de habilidad técnica). Por lo tanto, el "robo de contraseñas" no necesitaba ser eficiente sino elegante . Esto incluía sistemas divertidos mediante los cuales un usuario mantendría una imagen de la pantalla de inicio de sesión ejecutándose como una aplicación básica bajo su propio nombre, imitando a la verdadera y tomando la contraseña de otras personas: la elegancia proviene del hecho de que el atacante no lo hace. Incluso se necesitan derechos administrativos locales ("privilegios de root"). Notará que el SAK previene exactamente ese ataque.
Los atacantes de la vida real no juegan muy bien. Cuando tienen acceso físico a una máquina, primero obtienen acceso a nivel de kernel, posiblemente dañando físicamente la máquina (una herejía impensable para un estudiante de computación), y si quieren registrar las claves simplemente lo hacen, independientemente de la SAK. Pero los ingenieros que diseñan sistemas operativos ahora todavía piensan en términos de los días dorados de sus primeros años veinte; intentan frustrar no los ataques prácticos de la vida real, sino los chanchullos elegantes de una época más civilizada.
Entonces, el SAK está ahí, principalmente para dar una sensación de seguridad a las personas que visualizan los ataques y el registro clave como un juego que jugaron hace dos décadas y aún recuerdan con cariño. Como la mayoría de las cosas en las computadoras, está fuera de la cuestión de la Tradición.
(Tenga en cuenta que algunos de estos ingenieros no obtuvieron trabajos en el diseño de sistemas operativos, sino que escribieron especificaciones de "reglas de seguridad" que deben cumplir las organizaciones, por un efecto hilarantemente extendido de la tradición. Los diseñadores de sistemas operativos todavía tienen que incluir un SAK porque lo necesitan para cumplir con algunas regulaciones, incluso si saben que no tiene mucho sentido.)
Ahora, en la práctica , ¿de qué sirve el SAK? No mucho. Todavía se puede decir que la contraseña de inicio de sesión de un usuario son datos confidenciales, no porque otorgue acceso a la red local (un acceso que el atacante ya tiene, en virtud de secuestrar una máquina que se ejecuta en esa red), sino porque los usuarios tiene el hábito de reutilizar las contraseñas, ya sea directamente o mediante alguna "regla" transparente (si la contraseña del usuario en el servidor QZ982 es "PasswordQZ982", adivine cuál será la contraseña del usuario en el servidor YH455). Pero el SAK no es suficiente para resistir el registro de claves de todos modos.
La seguridad realmente aumenta, no por intentos similares a SAK, sino por educar (como es habitual) a los usuarios, en particular a la necesidad de no reutilizar contraseñas.