El Administrador de cuentas de seguridad es la parte del sistema operativo Windows® que verifica las contraseñas de las cuentas. Las contraseñas almacenadas por este sistema se codifican mediante un algoritmo hash. Dado que el hash solo se codifica en una dirección, las contraseñas son relativamente seguras si un usuario no autorizado las encuentra. El Administrador de cuentas de seguridad está integrado en el registro del sistema y sus archivos son monitoreados directamente por el kernel, lo que dificulta la manipulación o el cambio de la información asociada. Si bien este sistema está a salvo de la mayoría de los ataques básicos, ha recibido varias críticas debido a un grupo selecto de fallas de seguridad.
La función principal del administrador de cuentas de seguridad es conservar las contraseñas utilizadas para iniciar sesión en las cuentas de Windows®. Este sistema solo tiene esas contraseñas; otras contraseñas del sistema se guardan en áreas no relacionadas. El administrador es utilizado por el sistema operativo para verificar que las contraseñas ingresadas sean las correctas.
Cuando un usuario crea una contraseña de cuenta, el sistema la envía a través de un algoritmo hash. Este proceso convierte la contraseña en números y luego ejecuta esos números a través de una ecuación. La salida de la ecuación es una cadena de números que no se parece en nada a la contraseña original. Windows eliminará por completo cualquier rastro de la contraseña original, dejando solo los números.
Cuando un usuario ingresa su contraseña, el proceso se repite. El Administrador de cuentas de seguridad contiene la cadena final de números, que se comparan con la contraseña convertida. Si los números coinciden, el usuario puede iniciar sesión; si no lo hacen, el sistema devuelve un error de contraseña no válida.
La seguridad para el administrador de cuentas de seguridad es lo más estricta posible. Los procesos que gobiernan el sistema están integrados directamente en el registro del sistema operativo. Esto es común para la mayoría de los sistemas inherentes, pero dificulta su manipulación. La seguridad real proviene del kernel del sistema. Tan pronto como se activa, el kernel toma posesión de los archivos del Administrador de cuentas de seguridad y los retiene mientras se ejecuta. Esto hace que sea extremadamente difícil mover o copiar los archivos.
El sistema no es infalible y hay varias formas de engañar al kernel para que ceda los archivos. Los métodos más comunes implican montar la instalación de Windows® en un sistema virtual. El kernel se controla más fácilmente durante la emulación y es posible copiar los archivos. También es posible provocar un error de computadora, comúnmente llamado pantalla azul, que vuelca la memoria activa en un archivo. Este volcado contiene la información del administrador de cuentas de seguridad.