Слабая схема шифрования паролей в MS SQL-сервере

04.11.2002 | 15:27
Сообщается, что шифрование паролей во встроенном механизме SQL-аутентификации недостаточно надежное, что позволяет злоумышленнику после прослушивания трафика между клиентом и сервером достаточно легко декодировать имя пользователя и пароль.

Необходимо отметить, что MS SQL имеет 2 схемы аутентификации: Windows-аутентификация и встроенная SQL-аутентификация (с предварительно заданным эккаунтом "sa"). Слабым алгоритмом шифрации обладает второй тип аутентификации - встроенный механизм SQL-аутентификации.

Это было отмечено ранее в выпущенном Дэвидом Литчфилдом документе "Threat Profiling Microsoft SQL Server". Сейчас же более конкретно расписывается схема шифрации логина и пароля. Сначала производится конвертирование в UNICODE и затем применяется простая операция XOR.

Для предотвращения расшифровки рекомендуется пользоваться более криптостойким алгоритмом аутентификации Windows. Также автор рекомендует для расшифровки паролей использовать выпущенный инструмент "forceSQL", позволяющий подбирать пароли на основе словаря.

Подробности - http://www.nii.co.in/vuln/sqlpass.html.
безопасность, информация, защита информации, статьи, библиотека, аудит, администрирование, реагирование на инциденты, криптография, уязвимость
По материалам http://uinc.ru
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код