Når forvaltningen av de interne SQL Server-konto og passord, er det lett å tenke at alt er ganske trygt. Tross alt, er din SQL Server-systemet beskyttet inne i en brannmur, men også beskyttelse av Windows-godkjenning, alle brukere trenger et passord for å skrive inn. Dette høres veldig trygg, spesielt når du gjør det hele tiden. Kan faktisk, det er ikke så trygge som vi trodde.
Her vi liste noen av SQL Server passordet er svært farlig å dømme:
Ingen passord testprogram
Da gjennomfører testen, begynte å prøve å knekke koden direkte ville være en stor feil. Enten du tester lokalt eller via Internett, sterkeste at du får tillatelse, og at en konto ble låst etter rollback plan. Til slutt du trenger å gjøre er å sikre at kontoen er låst, kan brukeren bruke databasen og koblet programmer vil ikke fungere skikkelig.
Gjennom Internett, er passordet fortsatt trygt
Oppnådd gjennom en hybrid metode for SQL Server, kan du enkelt gjennom en rekke analyse programvare (for eksempel OmniPeek, Ethereal) umiddelbart fanget den fra Internett passordet. I mellomtiden kan Kain og Abel brukes til å fange passordet basert på TDS. Du tenker kanskje at innen nettverket bryteren kan unngås ved dette problemet? Imidlertid Cain's ARP forgiftning ruting enkelt kan hacke den. I omtrent ett minutt, dette gratis programvare du kan bryte dine bytte og se det lokale nettverket interne utveksling av data, for å hjelpe andre enklest å gjennomgå passord.
Faktisk var problemet stopper ikke der. Noen misforståelse at i SQL Server ved hjelp av Windows-godkjenning er svært sikker. Imidlertid er det ikke. Programvaren kan også raskt tatt fra Internett Windows, Web, e-post og andre beslektede passord for å få tilgang til SQL Server.
Ved å bruke passordet politikken, kan vi ikke teste passordet
Uansett hvor alvorlig passordet politikken, men alltid har noen måte å omgå det. Eksempel, er det nå en server ikke er konfigurert en Windows extraterritorial vert, SQL Server, eller et ukjent antall spesielle verktøy, kan de bryte den sterkeste passord. Disse tingene kan utnytte svakheten i passordet og koden din politikk er ineffektiv.
Også, like viktig er at noen test resultater kan være at fordi passord er blitt veldig sterk, er databasen trygg, men du trenger ikke godtroende. Må teste og verifisere hva passordet er fremdeles defekt. Selv om du kanskje tror alt er bra, men faktum er at du kan slippe ut noe.
Du trenger kun å bekymre deg for den primære database-serveren
Siden SQL Server passordet ikke er gjenvunnet, at hvis jeg visste at han var sterk, veldig trygt, hvorfor skulle jeg bryte ham?
Faktisk, SQL Server passord er å gjenvinne den. I SQL Server 7 og SQL Server 2000, kan du bruke noe sånt som Kain og Abel eller avgifter NGSSQLCrack dette verktøyet for å få tak i passordet hash tabellen, og deretter bryte gjennom vold av sine angrep. Disse verktøyene lar deg passordet SHA hash av SQL Server tabellen for reverse engineering. Selv om bruddet ikke kan garantere resultater, men det er en svakhet av SQL Server.
Microsoft Baseline Security Analyzer brukes til å eliminere et verktøy for SQL Server sårbarheter, men han er ikke perfekt, spesielt i forhold til passord. For inngående SQL Server og Windows-passord sprengning, må vi bruke tredjeparts programvare, som gratis SQLat og SQLninja (kan bli funnet i SQLPing 3) og Windows-passord sprengning verktøy, som ElcomSoft er Proaktiv Passord revisor og Ophcrack.
I tillegg vil bruk av SQL Server ved hjelp av Windows-godkjenning betyr ikke at passordet ditt er trygt. Noen folk bare lære å sprekk Vinduer passord, tilbringe litt tid i, kan du sprekk passordet og styre hele nettverket. Særlig hvis de bruker Ophcrack LiveCD er å angripe en fysisk usikker Windows-maskiner, for eksempel bærbare datamaskiner eller lett å nå serveren, vil det bli lettere.
Du trenger kun å bekymre deg for den primære database-serveren
Det er lett å sette fokus på sin SQL Server-systemer, men ignorerer nettverket kan ha MSDE, SQL Server Express, og andre mulige prosedyrer for SQL Server. Disse systemene kan være utrygt å bruke standardinnstillingene, eller rett og slett ikke noe passord. Gjennom bruk av slike verktøy SQLPing 3 til databaseserveren til å angripe disse systemene, vil du lett bli ødelagt.
IT, som alt annet, du alltid slått ned av noen av detaljene. Hvis du kan oppgi retten til å bedømme risikoen for SQL Server passord, vil du forbedre sikkerheten for SQL Server.