Cuando la gestión de la cuenta interna de SQL Server y la contraseña, es fácil pensar que todo es bastante seguro. Después de todo, su sistema de SQL Server está protegido dentro de un servidor de seguridad, sino también la protección de la autenticación de Windows, todos los usuarios necesitan una contraseña para entrar. Esto suena muy seguro, especialmente cuando usted hace eso todo el tiempo. ¿Puede, de hecho, no es tan seguro como pensábamos.
Aquí enumeramos algunas de la contraseña de SQL Server es muy peligroso para juzgar:
N programa de pruebas clave
Al realizar la prueba, empezó a tratar de descifrar el código directamente sería un gran error. Ya sea que usted está probando a nivel local oa través de Internet, hacen pensar que se obtiene el permiso, y que una cuenta se bloqueó tras el plan de desmantelamiento. Por último hay que hacer es asegurarse de que la cuenta está bloqueada, el usuario puede operar la base de datos y aplicaciones conectadas no funcionará correctamente.
A través de Internet, la contraseña sigue siendo seguro
Obtenidos a través de un método híbrido para SQL Server, usted puede fácilmente a través de una serie de software de análisis (por ejemplo, OmniPeek, Ethereal) inmediatamente lo cogió de la contraseña de Internet. Mientras tanto, Caín y Abel se puede utilizar para capturar la contraseña basado en TDS. Se podría pensar que en el conmutador de red se puede evitar este problema? Sin embargo, el envenenamiento de Caín ARP enrutamiento fácilmente aguanta. En aproximadamente un minuto, este software gratuito que puede romper el conmutador y ver el intercambio interno de la red local de datos, para ayudar a otros programas más fácil de rastrear contraseña.
De hecho, el problema no se detuvo ahí. Algunos malentendidos que en SQL Server mediante la autenticación de Windows es muy seguro. Sin embargo, no lo es. El software también puede cogió rápidamente de la Internet de Windows, Web, e-mail y contraseña relacionados con otros para obtener acceso a SQL Server.
Mediante el uso de la directiva de contraseñas, no podemos probar la contraseña
No importa la gravedad de su política de contraseñas, pero siempre tienen alguna manera de evitarlo. Ejemplo, ahora hay un servidor no está configurado un host de Windows extraterritoriales, SQL Server, o un número desconocido de herramientas especiales, que pueden romper el fuerte contraseña. Estas cosas pueden tomar ventaja de la debilidad de su contraseña y su política de código es ineficaz.
Además, igualmente importante es que algunos resultados de la prueba puede ser que debido a que su contraseña ha sido muy fuerte, su base de datos es segura, pero no ingenuo. Debe probar y verificar lo que tu contraseña es aún resulta defectuoso. Aunque usted puede pensar que todo está bien, pero en realidad usted puede depositar algo.
Sólo tiene que preocuparse de su servidor de base de datos principal
Desde la contraseña de SQL Server no se recupera, que si yo sabía que él era fuerte, muy segura, ¿por qué lo rompen?
De hecho, SQL Server es la contraseña para recuperar el. En SQL Server 7 y SQL Server 2000, puede usar algo como Caín y Abel o cargos NGSSQLCrack esta herramienta para obtener la tabla hash de la contraseña, y luego romper a través de la violencia de sus ataques. Estas herramientas permiten a la contraseña hash SHA de la tabla de SQL Server para la ingeniería inversa. Aunque la ruptura no puede garantizar resultados, pero en realidad es una debilidad de SQL Server.
Microsoft Baseline Security Analyzer se utiliza para eliminar una herramienta para SQL vulnerabilidades de servidor, pero no es perfecto, especialmente en lo que se refiere contraseña craqueo. Para en la profundidad de SQL Server y Windows obtención ilegal de contraseña, tenemos que usar software de terceros, tales como libre SQLat y sqlninja (se puede encontrar en el SQLPing 3) y la contraseña de Windows herramientas de cracking, como proactiva Auditor ElcomSoft de Contraseña y Ophcrack.
Además, el uso de SQL Server mediante la autenticación de Windows no significa que tu contraseña es segura. Algunas personas simplemente aprender a crackear las contraseñas de Windows, pasar algún tiempo, puede descifrar contraseñas y control de toda la red. En particular, si utilizan el Ophcrack LiveCD de atacar a un hosts de Windows físicamente inseguras, tales como computadoras portátiles y de fácil acceso al servidor, será más fácil.
Sólo tiene que preocuparse de su servidor de base de datos principal
Es fácil centrar la atención en sus sistemas SQL Server, pero ignora la red puede tener MSDE, SQL Servir Express, y otros posibles procedimientos para SQL Server. Estos sistemas pueden no ser seguro utilizar la configuración predeterminada, o simplemente no tiene contraseña. SQLPing 3 mediante el uso de estas herramientas para el servidor de base de datos para atacar a estos sistemas, fácilmente se romperá.
IT, como todo lo demás, siempre golpeado por algunos de los detalles. Si usted puede abandonar el derecho de juzgar el riesgo de SQL Contraseña del servidor, usted mejorará su seguridad de SQL Server.