על אבטחה ובני אנוש – איתור סיסמאות חלשות ב SQL SERVER

14/05/2014

שמעון גיברלטר DBA בפרוייקט ממשלתי מטעם נאיה טכנולוגיות (ניתן ללחוץ על התמונות בפוסט להגדלה) באחד לאפריל השנה (2014) פורסם פוסט מעניין בsqlservercentral , כותרתו הייתה מאוד מושכת "Script Out Passwords"... הקוד נמצא כאן : ScriptOutPasswords זאת התוצאה המתקבלת מהרצת השאילתא: אכן תכסיס מצחיק ל1 באפריל, בקוד הנ"ל הצפינו את המילים WE CANNOT REALLY RECOVER… באחת משיטות ההצפנה (המירו לבינארי) ובעת הרצת השאילתא בוצע פיענוח למחרוזת בעזרת המרה לטקסט זוהי לא הצפנה מוצלחת כמובן כי ניתן להמיר את הערך הבינארי לטקסט בעזרת פונקציית המרה פשוטה (CAST/CONVERT) ולכן לסיסמא היא לא תתאים. לעומת זאת, מערכת ניהול הסיסמאות של SQL SERVER  משתמשת בהצפנה מסוג SHA  ומאחסנת את הסיסמאות בתור מחרוזת מוצפנת (HASHED) **Secure Hash Algorithm = SHA...