Bij het beheer van interne SQL Server-account en wachtwoord, het is makkelijk om te denken dat dit is heel veilig. Immers, is uw SQL Server systeem beschermd in een firewall, maar ook de bescherming van Windows-verificatie, alle gebruikers moeten een wachtwoord in te voeren. Dit klinkt heel veilig, zeker als je dat de hele tijd doen. Kan in feite, het is niet zo veilig als we dachten.
Hier hebben we hieronder een opsomming van de SQL Server-wachtwoord is erg gevaarlijk om te oordelen:
Geen wachtwoord testprogramma
Bij de uitvoering van de proef, begonnen om te proberen om de code te kraken die rechtstreeks zou een grote vergissing zijn. Of u nu lokaal testen of via het internet, raden u toestemming te krijgen, en dat een account was geblokkeerd na de terugdraaiing plan. Tenslotte moet je hoeft te doen is om ervoor te zorgen dat de rekening is geblokkeerd, kan de gebruiker werken de database en aangesloten toepassingen zal niet goed werken.
Via het internet, het wachtwoord is nog veilig
Bereikt door middel van een hybride methode voor SQL Server, kunt u eenvoudig door middel van een aantal analyse-software (zoals OmniPeek, Ethereal) onmiddellijk gevangen van het internet vergeten. Ondertussen kunnen Kaïn en Abel worden gebruikt om het wachtwoord op basis van TDS te vangen. Je zou kunnen denken dat er binnen het netwerk switch kan vermeden worden door dit probleem? Echter Kaïn ARP vergiftiging routing kan gemakkelijk hacken. In ongeveer een minuut, deze gratis software kunt u uw schakelaar te breken en zie het lokale netwerk de interne uitwisseling van gegevens met andere software makkelijker te helpen om het wachtwoord te kruipen.
In feite heeft het probleem daar niet stoppen. Sommige misverstand, dat in SQL Server met behulp van Windows-verificatie is zeer veilig. Het is echter niet. De software kan ook snel gevangen van het internet Windows, internet, e-mail en andere verwante wachtwoord om toegang tot SQL Server.
Door het gebruik van het wachtwoord beleid, kunnen we niet het wachtwoord te testen
Geen kwestie hoe ernstig uw wachtwoord beleid, maar altijd een of andere manier te omzeilen zijn. Zo is er nu een server is niet geconfigureerd een Windows host extraterritoriale, SQL Server, of een onbekend aantal van speciale werktuigen, kunnen ze breken de sterkste wachtwoord. Deze dingen kunnen profiteren van de zwakte van uw wachtwoord en uw code-beleid is niet effectief.
Ook even belangrijk is dat sommige testresultaten kan het zijn dat omdat uw wachtwoord is erg sterk, uw database veilig is, maar je weet niet lichtgelovig. Moet testen en nagaan wat uw wachtwoord nog steeds defect is. Hoewel u misschien denkt alles goed is, maar in feite kan je drop-off iets.
U hoeft alleen maar zorgen te maken over uw primaire database server
Aangezien de SQL Server wachtwoord niet is teruggevonden, dat als ik wist dat hij sterk was, zeer veilig, waarom zou ik hem te breken?
In feite, SQL Server wachtwoord terug te winnen het. In SQL Server 7 en SQL Server 2000, kunt u gebruik maken zoiets als Kaïn en Abel of heffingen NGSSQLCrack dit hulpprogramma om de wachtwoord hash tabel te verkrijgen, en vervolgens doorbreken van het geweld van hun aanvallen. Deze hulpmiddelen kunt u SHA hash van de SQL Server-tabel wachtwoord voor reverse engineering. Hoewel de pauze kan niet instaan voor de resultaten, maar het is echt een zwak punt van SQL Server.
Microsoft Baseline Security Analyzer wordt gebruikt om een instrument voor SQL Server kwetsbaarheden te elimineren, maar hij is niet perfect, vooral wat betreft het kraken van wachtwoorden. Voor diepgaande SQL Server en Windows-wachtwoord kraken, moeten we software van derden gebruiken, zoals vrije SQLat en SQLninja (te vinden in de SQLPing 3) en het Windows-wachtwoord kraken instrumenten, zoals ElcomSoft's Proactive Password Auditor en Ophcrack.
Bovendien is het gebruik van de SQL Server met behulp van Windows-verificatie niet zeggen dat je wachtwoord veilig is. Sommige mensen hebben gewoon leren hoe te om Windows wachtwoorden te kraken, wat tijd doorbrengen, kan je crack uw wachtwoord en de controle over het hele netwerk. In het bijzonder, indien zij gebruik maken van de Ophcrack LiveCD's op een fysiek onveilige Windows-hosts, aanval zoals laptops of makkelijk om de server te bereiken, zal het gemakkelijker worden.
U hoeft alleen maar zorgen te maken over uw primaire database server
Het is gemakkelijk om de aandacht te richten op hun SQL Server-systemen, maar negeert het netwerk kan hebben MSDE, SQL Serve Express, en andere mogelijke procedures voor SQL Server. Deze systemen kunnen onveilig zijn de standaardinstellingen, of simpelweg geen wachtwoord te gebruiken. SQLPing 3 door het gebruik van dergelijke tools om de database server om deze systemen aan te vallen, dan zult u erg gemakkelijk te worden uitgesplitst.
IT, zoals alles, je altijd geveld door een aantal van de details. Als u het recht om de risico's van SQL Server wachtwoord rechter te geven, verbetert u uw SQL Server-beveiliging.