快捷搜索:

微软SQL Server密码管理的六个危险判断

当治理SQL Server内在的帐户和密码时,我们很轻易觉得这统统都相称的安然。但实际上并非如斯。在这里,我们列出了一些对付SQL Server密码来说异常危险的判断。

当治理SQL Server内在的帐户和密码时,我们很轻易觉得这统统都相称的安然。终究,你的SQL Server系统被保护在防火墙里,而且还有Windows身份验证的保护,所有用户都必要密码才能进入。这听起来异常的安然,分外是当你觉得所有人都这么做的时刻。可实际上,它并不像我们想象得那么安然。

在这里,我们列出了一些对付SQL Server密码来说异常危险的判断:

密码测试无需计划

当进行测试时,直接就开始考试测验破解密码将是一个很大年夜的差错。无论你是在本地照样经由过程互联网进行测试,我都强烈建议你得到权限,并建议一个帐户被锁定后的回滚规划。着末你要做的便是确保在账户被锁准时,数据库用户无法进行操作,而且与之相连的利用法度榜样也将无法正常运行。

经由过程互联网,密码仍旧是安然的

对付经由过程混杂要领实现的SQL Server,你可以很轻易的经由过程一些阐发软件(比如OmniPeek、Ethereal)立即从网上抓到它的密码。同时,Cain and Abel可以用来抓取基于TDS的密码。你可能以为经由过程内网互换机就可以避免这一问题?然而,Cain的ARP中毒路由功能就可以很轻松的破解它。在大年夜约一分钟之内,这个免费软件就可以攻破你的互换机,并看到本地收集的内部数据互换,从而赞助其它软件更轻易的抓取密码。

事实上,问题并没有就此停止。有些误解觉得在SQL Server中应用Windows身份验证是很安然的。然而,事实并非如斯。上述软件同样可以迅速的从网上抓到Windows、Web、电子邮件等相关的密码,从而得到SQL Server的造访权限。

经由过程应用密码政策,我们就可以不用测试密码

无论你的密码政策有多严峻,却总会有一些法子可以绕开它。比如现在有一个未进行设置设置设备摆设摆设的办事器、一个Windows域外的主机、一个未知的SQL Server或者一些特殊的对象,它们可以破解最强壮的密码。这些器械就可以使用你密码的弱点并是你的代码政策变得无效

别的,同样紧张的是,有些测试结果可能会说因为你的密码已经异常强壮,你的数据库很安然,但你切切不要轻信。必然要自己在测试并验证一下,密码缺陷是否还在。只管你可能会感觉统统都很好,但实际上你可能落掉落了一些器械。

既然SQL Server密码是弗成重获的,那假如我知道他很强壮、很安然,我有为什么要破解他呢?

事实上,SQL Server的密码是可以重获的。在SQL Server 7和SQL Server 2000中,你可以应用像Cain and Abel或者收费的NGSSQLCrack这种对象来得到密码哈希表,而后经由过程暴力对其破解进行进击。这些对象使你可以对SQL Server密码SHA哈希表进行反向工程。只管破解的结果并不能够包管,但它确凿是SQL Server的一个弱点。

我应用MBSA反省过SQL Server密码的缺陷,并没有发明什么严重的问题

Microsoft Baseline Security Analyzer是一个用来铲除SQL Server弱点的对象,但他并不完善,分外是在密码破解方面。对付深层的SQL Server和Windows密码破解,我们必要应用第三方软件,如免费的SQLat和SQLninja(可以在SQLPing 3中找到)和Windows密码破解对象,如ElcomSoft's Proactive Password Auditor和Ophcrack。

此外,应用在SQL Server中应用Windows身份验证并不表示你的密码便是安然的。一些人只要懂得若何破解Windows密码,在花一些光阴,就可以破解你的密码并节制全部收集。分外是,假如他们应用你只需担心你主数据库办事器

我们很轻易把关注点集中在自己的SQL Server系统上,而轻忽了收集中可能有的MSDE、SQL Serve Express和其它一些可能的SQL Server法度榜样。这些系统可能正在应用不安然的默认设置,以致根本就没有密码。经由过程应用SQLPing 3这样的对象来对数据库办事器上的这些系统进行进击,你将很轻易地被破解。

IT像其他器械一样,你老是被一些细节所打倒。假如可以扬弃这些对SQL Server密码的危险判断,你必将改良你的SQL Server的安然。

相关文章

几条相对付SQL Server密码的潜要挟判断

SQL Server数据库口令的脆弱性

您可能还会对下面的文章感兴趣: