原文:数据库管理——安全管理——识别SQLServer中空密码或者弱密码的登录名
原文译自:
微软一直建议使用复杂的强密码。弱密码或者空密码会导致安全漏洞。可以使用PWDCOMPARE安全性函数来找出这类型的登录名和使用复杂的强密码重置,以避免这方面的安全漏洞。
可以使用这个函数去查找空密码或者弱密码。通过传入两个参数“text_password”和password_hash来执行这个函数,如果 clear_text_password 的哈希与 password_hash 参数匹配,则返回 1;否则返回 0。当访问目录视图sys.sql_logins时把这个函数放到where子句中,可以检查是否有空密码或者弱密码。
步骤一:
先创建一些具有相同密码的登录名。这里创建两个登录名:mssqltips和mssqltips_1,并有相同的密码,并且都为空密码。然后为每个登录名创建一个对应的用户,并赋予对数据库的db_owner权限。
|
--Creating a Login which has same password as its login name. Then creating a user with same name --and assigned it db_owner access. CREATE LOGINmssqltips , CHECK_POLICY=OFF go use tempdb go CREATE go sp_addrolemember'db_owner',mssqltips go --Creating a Login without password. Then creating a user with same name and assigned it db_owner access. CREATE LOGINmssqltips_1 , CHECK_POLICY=OFF go use tempdb go CREATE go sp_addrolemember'db_owner',mssqltips_1 go |
步骤二:
现在测试相同密码,创建另外一个登录名“mssqltips_2”,并和mssqltips有相同密码。
|
--Creating a Login with common password. Then creating a user with same name and assigned it --db_owner access. CREATE LOGINmssqltips_2 , CHECK_POLICY=OFF go use tempdb go CREATE go sp_addrolemember'db_owner',mssqltips_2 go |
步骤三:
查询在SQLServer实体中弱密码的登录:
查找相同密码:
下面查询是返回所有具有相同密码的登录名,如mssqltips,把这个密码传到PWDCOMPARE函数去获取所有符合条件的登录名:
|
SELECT name , type_desc create_date modify_date password_hash FROM WHERE PWDCOMPARE('mssqltips',password_hash) |
截图显式mssqltips和mssqltips_2具有相同密码:
查找空密码:
执行以下语句:
|
SELECT name , type_desc create_date modify_date password_hash FROM WHERE PWDCOMPARE('',password_hash) |
得到以下结果:
查找密码和登录名相同的登录名:
|
SELECT name , type_desc create_date modify_date password_hash FROM WHERE PWDCOMPARE(name,password_hash) |
得到以下结果:
步骤四:
当你找到上面那些有问题的登录是,要重置成强密码,以保证服务器环境更加安全。
备注:截图是原文图片,而脚本,是把数据库从原文数据库改成tempdb。