微軟SQLServer密碼管理的危險判斷
當管理SQL Server內在的帳戶和密碼時,我們很容易認為這一切都相當的安全。畢竟,你的SQL Server系統被保護在防火牆裡,而且還有Windows身份驗證的保護,所有使用者都需要密碼才能進入。這聽起來非常的安全,特別是當你認為所有人都這麼做的時候。可實際上,它並不像我們想象得那麼安全。
在這裡,我們列出了一些對於SQL Server密碼來說非常危險的判斷:
密碼測試無需計劃
當進行測試時,直接就開始嘗試破解密碼將是一個很大的錯誤。無論你是在本地還是通過網際網路進行測試,都強烈建議你獲得許可權,並建議一個帳戶被鎖定後的回滾方案。最後你要做的就是確保在賬戶被鎖定時,資料庫使用者無法進行操作,而且與之相連的應用程式也將無法正常執行。
通過網際網路,密碼仍然是安全的
對於通過混合方式實現的SQL Server,你可以很容易的通過一些分析軟體(比如OmniPeek、Ethereal)立刻從網上抓到它的密碼。同時,Cain and Abel可以用來抓取基於TDS的密碼。你可能以為通過內網交換機就可以避免這一問題?然而,Cain的ARP中毒路由功能就可以很輕鬆的破解它。在大約一分鐘之內,這個免費軟體就可以攻破你的交換機,並看到本地網路的內部資料交換,從而幫助其它軟體更容易的抓取密碼。
事實上,問題並沒有就此結束。有些誤解認為在SQL Server中使用Windows身份驗證是很安全的。然而,事實並非如此。上述軟體同樣可以迅速的從網上抓到Windows、Web、電子郵件等相關的密碼,從而獲得SQL Server的訪問許可權。
通過使用密碼政策,我們就可以不用測試密碼
無論你的密碼政策有多嚴厲,卻總會有一些辦法可以繞開它。比如現在有一個未進行配置的伺服器、一個Windows域外的主機、一個未知的SQL Server或者一些特殊的工具,它們可以破解最強壯的密碼。這些東西就可以利用你密碼的弱點並是你的程式碼政策變得無效。
另外,同樣重要的是,有些測試結果可能會說由於你的密碼已經非常強壯,你的資料庫很安全,但你千萬不要輕信。一定要自己在測試並驗證一下,密碼缺陷是否還在。儘管你可能會覺得一切都很好,但實際上你可能落掉了一些東西。
你只需擔心你主資料庫伺服器
既然SQL Server密碼是不可重獲的,那如果我知道他很強壯、很安全,我有為什麼要破解他呢?
事實上,SQL Server的密碼是可以重獲的。在SQL Server 7和SQL Server 2000中,你可以使用像Cain and Abel或者收費的NGSSQLCrack這種工具來獲得密碼雜湊表,而後通過暴力對其破解進行攻擊。這些工具使你可以對SQL Server密碼SHA雜湊表進行反向工程。儘管破解的結果並不能夠保證,但它確實是SQL Server的一個弱點。
Microsoft Baseline Security Analyzer是一個用來根除SQL Server弱點的工具,但他並不完善,特別是在密碼破解方面。對於深層的SQL Server和Windows密碼破解,我們需要使用第三方軟體,如免費的SQLat和SQLninja(可以在SQLPing 3中找到)和Windows密碼破解工具,如ElcomSoft's Proactive Password Auditor和Ophcrack。
此外,使用在SQL Server中使用Windows身份驗證並不表示你的密碼就是安全的。一些人只要瞭解如何破解Windows密碼,在花一些時間,就可以破解你的密碼並控制整個網路。特別是,如果他們使用<>Ophcrack's LiveCD來攻擊一個物理上不安全的Windows主機,比如膝上型電腦或者易可達的伺服器,那將變得更加容易。
你只需擔心你主資料庫伺服器
我們很容易把關注點集中在自己的SQL Server系統上,而忽略了網路中可能有的MSDE、SQL Serve Express和其它一些可能的SQL Server程式。這些系統可能正在使用不安全的預設設定,甚至根本就沒有密碼。通過使用SQLPing 3這樣的工具來對資料庫伺服器上的這些系統進行攻擊,你將很容易地被破解。
IT像其他東西一樣,你總是被一些細節所打倒。如果可以拋棄這些對SQL Server密碼的危險判斷,你必將改善你的SQL Server的安全。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/16436858/viewspace-591032/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- (IOS)判斷密碼格式iOS密碼
- 微信方便也危險
- mssql sqlserver 判斷字串大小寫的方法分享SQLServer字串
- 正規表示式判斷密碼是否符合要求。密碼
- 鴻蒙 Next 密碼保險箱:賬號密碼管理全流程鴻蒙密碼
- Sqlserver修改連線密碼SQLServer密碼
- KeePassXC for Mac密碼管理軟體Mac密碼
- sqlserver判斷欄位值是否存在某個字元SQLServer字元
- 密碼危機:深度學習正在加速密碼破解!密碼深度學習
- 原始碼防洩密系統與程式相關性判斷原始碼
- 軟體測試--詳細判斷電話號碼
- 微軟:微軟帳戶使用洩露密碼達4400萬個微軟密碼
- Android 微信支付 微信是否安裝判斷Android
- 直播軟體原始碼,利用uniapp checkbox判斷是否選中原始碼APP
- php 的 危 險 參 數PHP
- JS的判斷語句:判斷、迴圈JS
- 小米危險了
- 微軟賬戶登入將不再需要密碼微軟密碼
- 使用帶型別判斷的比較判斷型別
- js函式中的if判斷和a==b判斷JS函式
- 危險的 target=”_blank” 與 “opener”
- 棕櫚油挺危險的
- EDM營銷退信的危險
- 危險的 target="_blank" 與 “opener”
- 記憶體管理:判斷物件是否存活記憶體物件
- Android判斷企業微信是否登入:Android
- MySQL——密碼管理MySql密碼
- 模擬微任務 判斷是否有對應的apiAPI
- js程式碼判斷瀏覽器JS瀏覽器
- 【MSSQL】sqlserver 各種判斷是否存在(表名、函式、儲存過程.......)SQLServer函式儲存過程
- 如何判斷股票有沒有主力?主力的判斷方法
- 判斷方案絕密公式算單雙準確率99公式
- Android 中的危險許可權Android
- Linux的10個最危險命令Linux
- php常見的危險函式PHP函式
- 判斷NaN的真假NaN
- 質數的判斷
- Linux的10個最危險的命令Linux
- 怎麼判斷dns汙染,怎麼判斷dns汙染,具體判斷方法DNS