查询以检索 SQL Server 登录密码长度

我认为，您的企业安全性意味着周密码。借助内置函数PWDCOMPARE的一种方法（无需任何第三方工具），但为此，您需要在数据库表中提供真正的周密码列表，从该表中查找每个密码并与 SQL 进行比较登录哈希一个接一个。以下是示例：

Declare @pwText nvarchar(128);
Declare @WeekPassword_List table (pw nvarchar(128));
Declare @WeekPasswords_Active table (login_name sysname, pw nvarchar(128));

insert into @WeekPassword_List
values 
('password'),
('passwordpassword'),
('password123'),
('P@ssw0rd'),
('Pa55word'),
('Pa55w0rd'),
('Temp@password'),
('Temp123'),
('temp123'),
('temp@123'),
('Temp@123'),
('123'),
('1234'),
('123456'),
('12345678'),
('');

while exists (select 1 from @WeekPassword_List)
begin 
    SET @pwText = (select top 1 pw from @WeekPassword_List);

    INSERT INTO @WeekPasswords_Active
    SELECT name, @pwText
    FROM   sys.sql_logins
    WHERE  Pwdcompare(@pwText, password_hash) = 1;

    DELETE FROM @WeekPassword_List where pw = @pwText;
end 

select * from @WeekPasswords_Active;

不幸的是（或幸运的是），我相信没有这样的查询，原因是除了密码的哈希值之外没有关于存储密码的信息。如果您查询sys.sql_logins您将看到该列password_hash，并且根据文档，它包含

SQL 登录密码的哈希值。从 SQL Server 2012 (11.x) 开始，存储的密码信息是使用加盐密码的 SHA-512 计算的。

因此，要知道密码的大小，您必须解密这些哈希以获得原始密码，如果可能的话，这本身就是一个安全问题。

我知道我可以更改登录名并强制他们使用 Windows 密码策略——但这不会产生禁用登录名并使我们的应用程序失败的副作用吗？

Policy Enforcement文档可以帮助您更好地了解该更改的行为。