Dove sono archiviate le password di accesso di SQL 2008?

9

Devo sapere in quale file SQL Server 2008 memorizza effettivamente le password. Questa è una domanda che viene posta da un revisore della sicurezza.

So che posso ottenere hash password con LOGINPROPERTY('bbellomo', 'PasswordHash'), ma questo non mi aiuta; Devo sapere come sono memorizzati.

sql-server  password 
chiodo senza testa
fonte

Risposte:

6

Le password non sono memorizzate in testo normale. Se il revisore ha davvero bisogno del file in cui sono memorizzati, puntali sul file master.mdf. Questo è, ovviamente, per gli accessi SQL. Per gli accessi a Windows, SQL non sa nemmeno quale sia la password; Active Directory gestisce l'autenticazione.

Ben Thul
fonte
5

Prova a cercare sys.server_principalsi nomi utente e le password si trovano nel masterdatabase. Ma le password non sono memorizzate in testo normale.

Jonh
fonte
Dagli SELEZIONA * DA SYSLOGINS se ha davvero bisogno di output
jl.
5

Il piano di esecuzione da "SELEZIONA password DA syslogin" mostra che le password sono archiviate nel sys.sysxlgnsdatabase principale.

Dai un'occhiata a: Tabelle di base del sistema

Ecco le password, negli unici 2 formati che SQL Server ce le mostrerà:

SELECT name, password, LOGINPROPERTY(name, 'PasswordHash' ) hash
FROM syslogins
WHERE password IS NOT NULL
ORDER BY name

Probabilmente puoi convertire facilmente tra i formati, ma non so come fuori mano.

chiodo senza testa
fonte
funziona solo se si dispone di diritti sufficienti sul server. Secondo BOL richiede l'autorizzazione CONTROL SERVER. (vedi msdn.microsoft.com/en-us/library/ms345412(v=sql.120).aspx )
Henrik Staun Poulsen il
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.