Wenn das Management der internen SQL Server-Konto und Passwort, ist es leicht zu glauben, dass alles ganz sicher ist. Immerhin ist Ihre SQL Server-System innerhalb einer Firewall geschützt, sondern auch den Schutz von Windows-Authentifizierung, müssen alle Benutzer ein Passwort eingeben. Das klingt sehr sicher, besonders wenn man die ganze Zeit tun. Kann in der Tat, es ist nicht so sicher, wie wir dachten.
Hier listen wir einige der SQL Server-Kennwort ist sehr gefährlich, zu beurteilen:
Kein Passwort Testprogramm
Bei der Durchführung der Prüfung, fing an zu versuchen, den Code zu knacken direkt wäre ein großer Fehler sein. Egal, ob Sie direkt vor Ort getestet werden oder über das Internet, deuten stark darauf hin, dass Sie die Erlaubnis bekommen, und das Konto ist nach einem Rollback-Plan gesperrt. Schließlich haben Sie zu tun ist, um sicherzustellen, dass das Konto gesperrt ist, kann der Benutzer die Datenbank zu betreiben und verbundenen Anwendungen wird nicht korrekt funktionieren.
Durch das Internet ist das Passwort noch sicherer
Erreicht durch ein hybrides Verfahren für SQL Server, können Sie ganz einfach durch eine Reihe von Analyse-Software (wie OmniPeek, Ethereal) sofort fing es von dem Internet-Passwort. In der Zwischenzeit können Kain und Abel verwendet, um das Kennwort auf TDS Basis zu erfassen. Man könnte denken, dass innerhalb der Netzwerk-Switch von diesem Problem vermieden werden kann? Jedoch Kains ARP Poisoning kann leicht hack es Routing. In etwa einer Minute, diese kostenlose Software können Sie Ihre Pause schalten und sehen, das lokale Netzwerk internen Datenaustausch mit anderen Software zu erleichtern helfen, vergessen zu kriechen.
In der Tat hat das Problem nicht auf. Einige Missverständnisse, die in SQL Server mithilfe der Windows-Authentifizierung ist sehr sicher. Allerdings ist es nicht. Die Software kann auch schnell aus dem Internet Windows, Web, E-Mail und andere damit zusammenhängende vergessen gefangen, den Zugang zu SQL Server zu erhalten.
Durch die Nutzung der Passwort-Policy, können wir nicht testen, das Passwort
Egal wie schwer Ihr Passwort Politik, aber immer irgendwie zu umgehen. Beispielsweise gibt es nun ein Server ist kein Windows-Host exterritorialen, SQL Server oder einer unbekannten Anzahl von Spezialwerkzeugen konfiguriert wurde, kann sie brechen das stärkste Passwort. Diese Dinge können von der Schwäche der Ihr Passwort und Ihre Code-Politik nehmen, ist unwirksam.
Auch, ebenso wichtig ist, dass einige Testergebnisse kann sein, dass da Ihr Passwort wurde sehr stark, Ihre Datenbank sicher ist, aber Sie nicht leichtgläubig. Muss testen und zu verifizieren, was Ihr Passwort noch defekt ist. Obwohl Sie vielleicht denken, alles ist gut, aber in Wirklichkeit you drop off kann etwas.
Sie müssen nur über Ihre primäre Datenbank-Server kümmern
Da der SQL Server-Kennwort nicht wiedererlangt wird, dass, wenn ich wusste, er war stark, sehr sicher, warum sollte ich ihn zu brechen?
In der Tat, SQL Server-Kennwort ist es, die wiederzugewinnen. In SQL Server 7 und SQL Server 2000 können Sie so etwas wie Kain und Abel oder Abgaben NGSSQLCrack wie Werkzeuge, um die Passwort-Hash-Tabelle zu erhalten, und brechen dann durch die Heftigkeit ihrer Angriffe. Diese Tools ermöglichen es Ihnen, SHA-Hash des SQL Server-Tabelle für das Reverse Engineering vergessen. Wir können zwar keine Garantie für die Ergebnisse der Crack, aber es ist wirklich eine Schwäche des SQL Server.
Microsoft Baseline Security Analyzer wird verwendet, um ein Tool für SQL Server Schwachstellen zu beseitigen, aber er ist nicht perfekt, insbesondere im Hinblick Passwort-Cracking. Für eingehende SQL Server und Windows-Passwort knacken, müssen wir die Software von Drittanbietern, wie zB kostenlose SQLat und SQLninja (Verwendung finden Sie in der SQLPing 3) und dem Windows Passwort-Cracking-Tools, wie ElcomSoft ist Proactive Password Auditor und Ophcrack.
Darüber hinaus steht mit dem SQL Server mithilfe der Windows-Authentifizierung nicht bedeuten, dass Ihr Passwort sicher ist. Einige Leute lernen, wie man Windows-Passwörter knacken, verbringen einige Zeit in, können Sie Ihr Kennwort und Kontrolle des gesamten Netzwerks. Vor allem, wenn sie mit Hilfe der Ophcrack LiveCD's zu einem physikalisch unsicheren Windows-Hosts, wie Laptops oder einfach Angriff auf den Server zu erreichen, wird es einfacher.
Sie müssen nur über Ihre primäre Datenbank-Server kümmern
Es ist leicht, die Aufmerksamkeit auf ihre SQL Server-Systeme zu konzentrieren, ignoriert aber das Netz kann MSDE, SQL Serve Express haben, und andere mögliche Verfahren für SQL Server. Diese Systeme unsicher sein könnte, um die Standardeinstellungen, oder einfach kein Passwort verwenden. SQLPing 3 durch solche Werkzeuge benutzt, um den Datenbank-Server, um diese Systeme anzugreifen, werden Sie leicht gebrochen werden.
IT, wie alles, was Sie immer niedergestreckt durch einige der Details. Wenn Sie das Recht auf die Gefahr von SQL Server-Kennwort Richter kann aufzugeben, verbessern Sie Ihren SQL Server-Sicherheit.