När förvaltningen av den inre SQL Server-konto och lösenord, är det lätt att tro att allt är ganska säkert. Det är trots allt din SQL Server-system skyddade inuti en brandvägg samt skydd av Windows-autentisering, alla användare behöver ett lösenord för att komma in. Detta låter mycket säker, speciellt när du gör det hela tiden. Kan i själva verket är det inte så säkert som vi trodde.
Här listar vi några av SQL Server-lösenordet är mycket farligt att döma:
Inga lösenord testprogram
När de utför testet började att försöka knäcka koden direkt skulle vara ett stort misstag. Oavsett om du testar lokalt eller via Internet, pekar tydligt på att du får tillstånd, och att ett konto låstes efter rollback planen. Slutligen du behöver göra är att se till att kontot är låst, kan användaren databasen och anslutna program kommer inte att fungera korrekt.
Via Internet är lösenord fortfarande säker
Uppnås genom en hybrid metod för SQL Server, kan du lätt genom ett antal analysprogram (som OmniPeek, Ethereal) som fångas omedelbart det från Internet lösenord. Under tiden kan Kain och Abel användas för att fånga upp de lösenord som grundar sig på TDS. Du kanske tror att det inom nätverksväxel kan undvikas genom denna fråga? Men Kains ARP förgiftning routing kan lätt hacka den. I ungefär en minut, den här fria programvaran kan du bryta ditt switchen och se det lokala nätverket interna informationsutbytet, att hjälpa andra enklaste att krypa lösenord.
Faktum är att problemet stannar inte där. Några missförstånd som i SQL Server med Windows-autentisering är mycket säker. Men är det inte. Programmet kan också snabbt fångas från Internet Windows, webben, e-post och andra relaterade lösenord för att få tillgång till SQL Server.
Genom att använda lösenord politik kan vi testa inte lösenordet
Oavsett hur svår ditt lösenord politik, men alltid har något sätt att kringgå det. Exempel finns det nu en server är inte konfigurerad ett Windows extraterritoriell värd, SQL Server eller ett okänt antal specialverktyg, kan de bryta den starkaste lösenord. Dessa saker kan dra fördel av svagheter i ditt lösenord och din kod politik är ineffektivt.
Också lika viktigt är att vissa testresultat kan vara att eftersom lösenordet har varit mycket stark, är din databas säker, men det är inte lättlurad. Måste testa och verifiera vad ditt lösenord är fortfarande bristfällig. Även om du tror att allt är bra, men i själva verket du kan tappa bort något.
Du behöver bara oroa din primära databasserver
Eftersom SQL Server lösenord inte återfått, att om jag visste att han var stark, mycket säker, varför ska jag knäcka honom?
Faktum är att SQL Server lösenord är att återfå. I SQL Server 7 och SQL Server 2000 kan du använda något som Kain och Abel och avgifter NGSSQLCrack detta verktyg för att få bordet lösenord hash och sedan bryta igenom våld av sina attacker. Dessa verktyg låter dig lösenord SHA hash av SQL Server-tabell för reverse engineering. Trots att bryta inte kan garantera resultat, men det är verkligen en svaghet i SQL Server.
Microsoft Baseline Security Analyzer används för att eliminera ett verktyg för SQL Server svagheter, men han är inte perfekt, speciellt när det gäller lösenord sprickbildning. För djupgående SQL Server och Windows lösenord sprickbildning, måste vi använda programvara från tredje part, t.ex. gratis SQLat och SQLninja (finns i SQLPing 3) och Windows-lösenord knakande verktyg, såsom ElcomSoft s Proaktiv Lösenord revisor och Ophcrack.
Dessutom gör med hjälp av SQL Server med Windows-autentisering inte att ditt lösenord är säkert. Vissa människor bara lära sig hur till spricka Fönstren lösenord, spendera tid i, kan du knäcka ditt lösenord och kontrollera hela nätverket. I synnerhet om de använder Ophcrack s LiveCD att attackera ett fysiskt osäker Windows värdar, såsom bärbara datorer eller lätt att nå servern, blir det enklare.
Du behöver bara oroa din primära databasserver
Det är lätt att rikta uppmärksamheten på sina SQL Server-system, men ignorerar nätet kan ha MSDE, SQL Servera Express, och andra möjliga förfaranden för SQL Server. Dessa system kan vara farligt att använda standardinställningarna, eller helt enkelt inget lösenord. Genom att använda sådana verktyg SQLPing 3 till databasservern att attackera dessa system, kommer du lätt att brytas.
IT, som allt annat, slog du alltid med någon av detaljerna. Om du kan avstå rätten att bedöma risken för SQL Server lösenord, kommer du att förbättra din SQL Server-säkerhet.