El Administrador de cuentas de seguridad es la parte del sistema operativo Windows® que verifica las contraseñas de las cuentas. Las contraseñas almacenadas por este sistema se codifican utilizando un algoritmo de hash. Como el hash solo codifica en una dirección, las contraseñas son relativamente seguras si un usuario no autorizado las encuentra. El Administrador de cuentas de seguridad está integrado en el registro del sistema y sus archivos son monitoreados directamente por el kernel, lo que dificulta manipular o cambiar la información asociada. Si bien este sistema está a salvo de la mayoría de los ataques básicos, ha recibido varias críticas debido a un grupo selecto de fallas de seguridad.

La función principal del Administrador de cuentas de seguridad es conservar las contraseñas utilizadas para iniciar sesión en las cuentas de Windows®. Este sistema solo contiene esas contraseñas; otras contraseñas del sistema se guardan en áreas no relacionadas. El sistema operativo utiliza el administrador para verificar que las contraseñas ingresadas sean las correctas.

Cuando un usuario crea una contraseña de cuenta, el sistema la envía a través de un algoritmo hash. Este proceso convierte la contraseña en números y luego ejecuta esos números a través de una ecuación. La salida de la ecuación es una cadena de números que no se parece a la contraseña original. Windows eliminará completamente cualquier rastro de la contraseña original, dejando solo los números.

Cuando un usuario ingresa su contraseña, el proceso se repite. El Administrador de cuentas de seguridad contiene la cadena final de números, que se comparan con la contraseña convertida. Si los números coinciden, el usuario puede iniciar sesión; si no lo hacen, el sistema devuelve un error de contraseña no válida.

La seguridad para el administrador de cuentas de seguridad es lo más estricta posible. Los procesos que rigen el sistema se integran directamente en el registro del sistema operativo. Esto es común para la mayoría de los sistemas inherentes, pero dificulta la manipulación de ellos. La verdadera seguridad proviene del núcleo del sistema. Tan pronto como se activa, el kernel toma posesión de los archivos del Administrador de cuentas de seguridad y los retiene mientras se ejecuta. Esto hace que sea extremadamente difícil mover o copiar los archivos.

El sistema no es infalible y hay varias formas de engañar al núcleo para que renuncie a los archivos. Los métodos más comunes implican montar la instalación de Windows® en un sistema virtual. El núcleo se controla más fácilmente durante la emulación y es posible copiar los archivos. También es posible causar un error de la computadora, comúnmente llamado pantalla azul, que volca la memoria activa en un archivo. Este volcado contiene la información del Administrador de cuentas de seguridad.