Når forvaltningen af det indre SQL Server-konto og password, det er let at tro, at alt er helt sikkert. Det er trods alt dit SQL Server system beskyttet inde i en firewall, men også beskyttelsen af Windows-godkendelse, at alle brugere skal bruge et password at komme ind. Det lyder meget sikker, især når du gør det hele tiden. Kan faktisk er det ikke så sikkert, som vi troede.
Her er en liste nogle af de SQL Server password er meget farligt at bedømme:
Ingen password testprogram
Ved udførelse af testen, begyndte at forsøge at knække koden direkte ville være en stor fejltagelse. Uanset om du tester lokalt eller via internettet, tyder på, at du får tilladelse, og at en konto var låst efter rollback plan. Endelig hvad du skal gøre er at sikre, at kontoen er låst, kan brugeren betjene database og tilsluttet ansøgninger vil ikke fungere korrekt.
Via internettet, er adgangskoden stadig sikker
Opnås gennem en hybrid metode til SQL Server, kan du nemt gennem en række analyse software (såsom OmniPeek, Ethereal) fangede straks det fra Internettet password. I mellemtiden kan Kain og Abel blive brugt til at fange den password er baseret på TDS. Du tror måske, at der inden for netværks-switch kan undgås ved dette problem? Men Kains ARP forgiftning routing kan let hacke den. I omkring et minut, denne gratis software, kan du ødelægge dit skifte og se det lokale netværk interne dataudveksling, at hjælpe andre software lettere at gennemgå password.
Faktisk var problemet ikke stoppe der. Nogle misforståelse, at der i SQL Server ved hjælp af Windows-godkendelse er meget sikker. Men det er ikke. Softwaren kan også hurtigt fanget fra internettet Windows, Web, e-mail og andre relaterede adgangskode for at få adgang til SQL Server.
Ved at bruge password politik, kan vi ikke teste password
Ligegyldigt hvor svær din adgangskode politik, men altid have en eller anden måde at omgå det. Eksempel, der nu er en server er ikke konfigureret en Windows ekstraterritorial vært, SQL Server, eller et ukendt antal særlige værktøjer, kan de bryde den stærkeste password. Disse ting kan drage fordel af den svage din adgangskode og din kode politik er ineffektiv.
Også lige så vigtigt er, at nogle test resultater kan være, at fordi din adgangskode har været meget stærk, din database er sikkert, men du behøver ikke godtroende. Skal prøve og kontrollere, hvad din adgangskode er stadig defekt. Selvom du måske tror, at alle er godt, men i virkeligheden kan du aflevere noget.
Du behøver kun at bekymre dig om din primære databaseserver
Da SQL Server adgangskode ikke er genvundet, at hvis jeg vidste, at han var stærk, meget sikker, hvorfor skulle jeg bryde ham?
Faktisk Server SQL password er at genvinde. I SQL Server 7 og SQL Server 2000, kan du bruge noget i retning af Kain og Abel og afgifter NGSSQLCrack dette værktøj til at opnå den password hash tabellen, og derefter bryde gennem vold af deres angreb. Disse værktøjer giver dig mulighed for at password SHA hash af SQL Server tabellen for reverse engineering. Selv om pause ikke kan garantere resultaterne, men det er virkelig en svaghed i SQL Server.
Microsoft Baseline Security Analyzer bruges til at fjerne et værktøj til SQL Server sårbarheder, men han er ikke perfekt, især i forbindelse password sprængning. For dybtgående SQL Server og Windows password sprængning, er vi nødt til at bruge tredjeparts software, såsom gratis SQLat og SQLninja (kan findes i SQLPing 3) og Windows password sprængning redskaber, såsom ElcomSoft's Proaktiv Password revisor og Ophcrack.
Hertil kommer, at ved hjælp af SQL Server ved hjælp af Windows-godkendelse ikke betyder, at din adgangskode er sikker. Nogle mennesker bare lære hvor hen til knæk Vinduer passwords, bruge tid på, kan du knæk din adgangskode og styre hele netværket. Navnlig Ophcrack hvis de bruger's LiveCD til at angribe en fysisk usikker Windows værter, såsom bærbare computere eller nemmere at nå den server, vil det blive lettere.
Du behøver kun at bekymre dig om din primære databaseserver
Det er let at fokusere på deres SQL Server-systemer, men ignorerer net kan have MSDE, SQL Server Express, og andre mulige procedurer for SQL Server. Disse systemer kan være farligt at bruge standardindstillingerne, eller simpelthen ikke password. SQLPing 3 ved at anvende sådanne redskaber til databaseserveren til at angribe disse systemer, vil du nemt blive brudt.
IT, som alt andet, du altid slog ned i nogle af detaljerne. Hvis du kan opgive retten til at bedømme risikoen for SQL Server password, vil du forbedre din SQL Server-sikkerhed.