Quando la gestione del conto interno di SQL Server e una password, è facile pensare che tutto è abbastanza sicuro. Dopo tutto, il vostro sistema di SQL Server è protetto all'interno di un firewall, ma anche la protezione di autenticazione di Windows, tutti gli utenti hanno bisogno di una password per entrare. Sembra molto sicuro, specialmente quando lo si fa tutto il tempo. Può, infatti, non è così sicuro come si pensava.
Qui di seguito elenchiamo alcune delle password di SQL Server è molto pericoloso per giudicare:
Nessuna password programma di test
Quando si esegue il test, ha cominciato a cercare di decifrare il codice direttamente sarebbe un grosso errore. Sia che si sta eseguendo il test in locale o attraverso Internet, consigliamo vivamente di avere il permesso, e che un account è stato bloccato dopo che il piano di rollback. Infine si deve fare è garantire che l'account è bloccato, l'utente può gestire il database e le applicazioni saranno collegati non funzionare correttamente.
Attraverso Internet, la password è ancora sicuro
Raggiunto attraverso un metodo ibrido per SQL Server, si può facilmente attraverso una serie di software di analisi (come OmniPeek, Ethereal) immediatamente catturati dalla password Internet. Nel frattempo, Caino e Abele può essere usata per catturare la password sulla base di TDS. Si potrebbe pensare che all'interno dello switch di rete possono essere evitati da questo problema? Tuttavia, avvelenamento ARP Caino routing può facilmente hack. In circa un minuto, questo software libero è possibile interrompere lo switch e vedere di scambio interno alla rete locale i dati, per aiutare gli altri software più semplice per eseguire la scansione password.
In realtà, il problema non si è fermata lì. Qualche equivoco che in SQL Server utilizzando l'autenticazione di Windows è molto sicuro. Tuttavia, non lo è. Il software può anche rapidamente catturato in Windows Internet, Web, e-mail e le altre relative password per accedere a SQL Server.
Utilizzando il criterio di password, non possiamo verificare la password
Non importa quanto grave la vostra politica di password, ma hanno sempre un modo per aggirarla. Esempio, vi è ora un server non è configurato un host extraterritoriale Windows, SQL Server, o un numero imprecisato di utensili speciali, possono rompere il più forte password. Queste cose possono approfittare della debolezza della propria password e il tuo codice politica è inefficace.
Inoltre, altrettanto importante è che alcuni risultati possono essere che, poiché la password è stata molto forte, il database è sicuro, ma non ingenui. Deve effettuare le prove e verificare ciò che la tua password è ancora difettoso. Anche se potete pensare tutto va bene, ma in realtà si può scendere qualcosa.
Hai solo bisogno di preoccuparsi per il server di database primario
Dal momento che la password di SQL Server non è riconquistata, che se sapevo che era forte, molto sicuro, perché avrei dovuto rompere?
In realtà, SQL Server è la password per riconquistare la. In SQL Server 7 e SQL Server 2000, è possibile utilizzare qualcosa come Caino e Abele o tasse NGSSQLCrack questo strumento per ottenere la tabella di hash della password, e poi sfondare la violenza dei loro attacchi. Questi strumenti consentono di password hash SHA della tabella SQL Server per il reverse engineering. Anche se la pausa non può garantire risultati, ma in realtà è una debolezza di SQL Server.
Microsoft Baseline Security Analyzer è utilizzato per eliminare le carenze in SQL Server di strumenti, ma non è perfetta, soprattutto nel lato password cracking. Per approfondita SQL Server e Windows password cracking, abbiamo bisogno di usare software di terze parti, come la Free SQLat e SQLninja (può essere trovato nel SQLPing 3) e la password di Windows tool di cracking, come ElcomSoft's Proactive Password Auditor e Ophcrack.
Inoltre, l'uso di SQL Server utilizzando l'autenticazione di Windows non significa che la password è al sicuro. Alcune persone semplicemente imparare a rompere le password di Windows, passare un po 'di tempo, puoi rompere la tua password e controllare l'intera rete. In particolare, se utilizzano il Ophcrack LiveCD è di attaccare un host fisicamente insicuro Windows, come computer portatili o facile da raggiungere il server, sarà più facile.
Hai solo bisogno di preoccuparsi per il server di database primario
E 'facile focalizzare l'attenzione sui loro sistemi di SQL Server, ma ignora la rete può avere MSDE, SQL Serve Express, e di altre procedure possibili per SQL Server. Questi sistemi possono essere sicuri di utilizzare le impostazioni predefinite, o semplicemente senza password. Attraverso l'uso di tali strumenti SQLPing 3 al server di database per attaccare questi sistemi, vi sarà facile essere rotto.
IT, come tutto il resto, è sempre colpito da alcuni dettagli. Se si può abbandonare il diritto di giudicare il rischio di password di SQL Server, potrete migliorare la vostra protezione di SQL Server.