口令SQL Server口令弱口令:一个安全隐患(sqlserver口令弱)

SQL Server口令弱口令是指SQL Server数据库中存在着数据库连接凭证上的授权用户(比如:dba用户等)使用的口令是弱口令,导致可以轻松被破解。SQL Server数据库连接凭证上的授权用户口令弱口令的危及安全主要在于:无认证的传输及外部的的访问。

口令弱口令会造成违反安全最佳实践的不安全行为,破解了弱口令就能够以授权者的身份访问SQL Server数据库或者可能造成数据泄露,数据损坏甚至数据库不可用等严重后果。

为了规避SQL Server口令弱口令的安全隐患,提升用户账号的安全性,首先要使用强口令来代替弱口令里的最少8位的字母、数字、符号混合的口令;其次,要设置口令的失效时间,及时修改口令,尽量使用极强的口令;同时,也可以开启SQL Server数据库的安全认证机制,采用客户端和服务器之间的双重认证方式,更加安全防范SQL Server数据库口令弱口令的安全隐患。

要启动SQL Server数据库口令弱口令安全认证机制,首先要确保服务器RC4加密算法已经启用,并且服务器认证也完成了配置。然后在客户端,可以用如下的代码来连接服务器:

#include  
#include
//连接服务器
SQLHANDLE sqlConnHandle;
retcode = SQLConnect(sqlConnHandle, (SQLCHAR*) "MyServerName", SQL_NTS,
(SQLCHAR*) "dba", SQL_NTS,
(SQLCHAR*) "my_strong_password", SQL_NTS);

当客户端发起连接的时候,服务器就会下发一个会话口令给客户端,客户端要把这个会话口令再次返回给服务器以认证自己,如果这个会话口令正确,那么系统就可以建立正常的数据库连接。

另外,也可以使用Windows操作系统的ActiveDirectory服务,使用其域用户来管理SQL Server用户账号和口令,这样就可以利用Windows登录账号管理机制来管理SQL Server账号和口令,即可以大大提高SQL Server数据库的安全性。

为了最大限度的提高SQL Server数据库的安全性,应该加强口令管理,避免口令弱口令的出现,严格遵守安全最佳实践,定期更新口令,同时要做好安全防护,保护系统资源免受SQL Server口令弱口令攻击。


数据运维技术 » 口令SQL Server口令弱口令:一个安全隐患(sqlserver口令弱)