若使用者同時被授與可增、修、查、刪等各種權限,若沒有特權存取管理機制,該使用者每次都入都擁有所有權限,這是不安全的。使用者的特權應該在登入後、操作需要使用特權時的功能才被開放,而在開放特權前,也應該經過再次身分驗證。
特權帳號指的是擁有高於一般使用者權限的帳號,例如:
其他類型的特權帳戶可針對每個人的工作需求不同,調整所具有的權限(即便是特權帳號,也應遵守最小權限原則)。組織一般來說一定會將管理與保護資訊資產的工作下放給不同層級的員工,透過主管進行管理、監督,並依照層級賦予相對應的權力與責任。但也有可能因誤用或濫用特權,而對組織與利害關係者造成影響,通常透過以下措施緩解誤用或濫用的風險:
職責分離也被稱為職責分工,以安全的角度來說,任何高風險的行為都不應該只需要一個人就能單獨完成,因此透過將高風險的操作行為拆分開,要求不同的人執行操作,達到降低圖謀不軌的行為或無意間發生錯誤發生的風險。例如員工可以提供發票向公司報帳,但應經過主管的核准與出納的撥款。
當然,職責分離只能降低風險,因為仍然有可能多個人串通好,合作執行不合法的行為,因此理論上職責分離越細越好,但也要考慮到人力與業務執行流暢性的問題。
另一種職責分離的作法為雙重控制,例如將密碼分兩段,由兩個不同的人持有密碼,需同時輸入自己持有的密碼才能通過驗證。
在實體安全方面則稱為雙人規則(two-person rule),要求至少有兩個人同時進入某一個區域,無法單獨進出,有助於減少內部人員對安全區域的威脅,或提高對內部人員的生命安全(如一人突發疾病,仍有一人可呼叫救援與提供協助)。