密码测试无需计划
当进行测试时,直接就开始尝试破解密码将是一个很大的错误。无论你是在本地还是通过互联网进行测试,都强烈建议你获得权限,并建议一个帐户被锁定后的回滚方案。最后你要做的就是确保在账户被锁定时,数据库用户无法进行操作,而且与之相连的应用程序也将无法正常运行。
通过互联网,密码仍然是安全的
事实上,问题并没有就此结束。有些误解认为在SQL Server中使用Windows身份验证是很安全的。然而,事实并非如此。上述软件同样可以迅速的从网上抓到Windows、Web、电子邮件等相关的密码,从而获得SQL Server的访问权限。
通过使用密码政策,我们就可以不用测试密码
另外,同样重要的是,有些测试结果可能会说由于你的密码已经非常强壮,你的数据库很安全,但你千万不要轻信。一定要自己在测试并验证一下,密码缺陷是否还在。尽管你可能会觉得一切都很好,但实际上你可能落掉了一些东西。
你只需担心你主数据库服务器
既然SQL Server密码是不可重获的,那如果我知道他很强壮、很安全,我有为什么要破解他呢?
此外,使用在SQL Server中使用Windows身份验证并不表示你的密码就是安全的。一些人只要了解如何破解Windows密码,在花一些时间,就可以破解你的密码并控制整个网络。特别是,如果他们使用<>Ophcrack's LiveCD来攻击一个物理上不安全的Windows主机,比如笔记本电脑或者易可达的服务器,那将变得更加容易。
我们很容易把关注点集中在自己的SQL Server系统上,而忽略了网络中可能有的MSDE、SQL Serve Express和其它一些可能的SQL Server程序。这些系统可能正在使用不安全的默认设置,甚至根本就没有密码。通过使用SQLPing 3这样的工具来对数据库服务器上的这些系统进行攻击,你将很容易地被破解。
IT像其他东西一样,你总是被一些细节所打倒。如果可以抛弃这些对SQL Server密码的危险判断,你必将改善你的SQL Server的安全。
![Windows下配置Apache的SSL服务[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)