Security Accounts Manager è la parte del sistema operativo Windows® che verifica le password degli account. Le password memorizzate da questo sistema sono codificate utilizzando un algoritmo di hashing. Poiché l’hash codifica solo in una direzione, le password sono relativamente sicure se vengono trovate da un utente non autorizzato. Il Security Account Manager è integrato nel registro di sistema e i suoi file sono monitorati direttamente dal kernel, rendendo difficile la manomissione o la modifica delle informazioni associate. Sebbene questo sistema sia al sicuro dalla maggior parte degli attacchi di base, ha ricevuto diverse critiche a causa di un gruppo selezionato di errori di sicurezza.
La funzione principale di Security Accounts Manager è conservare le password utilizzate per accedere agli account Windows®. Questo sistema contiene solo quelle password; altre password di sistema sono conservate in aree non correlate. Il gestore viene utilizzato dal sistema operativo per verificare che le password inserite siano quelle corrette.
Quando un utente crea una password dell’account, il sistema la invia tramite un algoritmo di hash. Questo processo converte la password in numeri e quindi esegue quei numeri attraverso un’equazione. L’output dell’equazione è una stringa di numeri che non ha alcuna somiglianza con la password originale. Windows rimuoverà completamente ogni traccia della password originale, lasciando solo i numeri.
Quando un utente inserisce la sua password, il processo si ripete. Il Security Account Manager contiene la stringa finale di numeri, che vengono confrontati con la password convertita. Se i numeri corrispondono, l’utente può accedere; in caso contrario, il sistema restituisce un errore di password non valida.
La sicurezza per il Security Account Manager è quanto di più stretta possa essere. I processi che governano il sistema sono integrati direttamente nel registro del sistema operativo. Questo è comune per la maggior parte dei sistemi intrinseci, ma rende più difficile la loro manomissione. La vera sicurezza viene dal kernel del sistema. Non appena si attiva, il kernel prende possesso dei file di Security Accounts Manager e li conserva per tutto il tempo in cui viene eseguito. Ciò rende estremamente difficile spostare o copiare i file.
Il sistema non è infallibile e ci sono molti modi per ingannare il kernel e fargli rinunciare ai file. I metodi più comuni prevedono il montaggio dell’installazione di Windows® su un sistema virtuale. Il kernel è più facilmente controllabile durante l’emulazione ed è possibile copiare i file. È anche possibile causare un errore del computer, comunemente chiamato schermata blu, che scarica la memoria attiva in un file. Questo dump contiene le informazioni di Security Accounts Manager.