Início / dba / Perguntas / 279227
Accepted
Stephen Morris - Mo64
Asked: 2020-11-06 00:54:57 +0800 CST

Consulta para recuperar o comprimento da senha de login do SQL Server

  • 772

A segurança corporativa me pediu para revisar nossos Bancos de Dados SQL do Azure e descobrir se há logins SQL com senhas "curtas". Não conheço uma maneira de fazer isso - sei que poderia alterar o login e forçá-los a usar a política de senha do Windows - mas isso não teria o efeito colateral de desabilitar os logins e fazer com que nossos aplicativos falhem?

Alguém tem uma sugestão - TSQL ou Powershell de preferência

sql-server azure-sql-database

2 respostas

  1. Acho que sua segurança corporativa significava senhas semanais . Uma maneira de fazer isso (sem ferramentas de terceiros) com a ajuda da função embutida PWDCOMPARE , mas para isso você precisa ter uma lista de senhas semanais reais disponível talvez na tabela do banco de dados de onde cada senha foi pesquisada e comparada com o SQL Hashes de login um por um. segue o exemplo:

    Declare @pwText nvarchar(128);
Declare @WeekPassword_List table (pw nvarchar(128));
Declare @WeekPasswords_Active table (login_name sysname, pw nvarchar(128));

insert into @WeekPassword_List
values 
('password'),
('passwordpassword'),
('password123'),
('P@ssw0rd'),
('Pa55word'),
('Pa55w0rd'),
('Temp@password'),
('Temp123'),
('temp123'),
('temp@123'),
('Temp@123'),
('123'),
('1234'),
('123456'),
('12345678'),
('');

while exists (select 1 from @WeekPassword_List)
begin 
    SET @pwText = (select top 1 pw from @WeekPassword_List);

    INSERT INTO @WeekPasswords_Active
    SELECT name, @pwText
    FROM   sys.sql_logins
    WHERE  Pwdcompare(@pwText, password_hash) = 1;

    DELETE FROM @WeekPassword_List where pw = @pwText;
end 

select * from @WeekPasswords_Active;
    • 4
  2. Best Answer

    Infelizmente (ou felizmente), acredito que não exista essa consulta e o motivo é que não há informações sobre a senha armazenada além do hash da senha. Se você consultar sys.sql_logins , verá a coluna password_hashe, de acordo com o documento, ela contém o

    Hash da senha de login do SQL. A partir do SQL Server 2012 (11.x), as informações de senha armazenadas são calculadas usando SHA-512 da senha salgada.

    Portanto, para saber o tamanho da senha, você teria que descriptografar esses hash para obter a senha original e, se fosse possível, seria um problema de segurança por si só.

    Eu sei que poderia alterar o login e forçá-los a usar a política de senha do Windows - mas isso não teria o efeito colateral de desabilitar os logins e fazer com que nossos aplicativos falhem?

    O documento Policy Enforcement pode ajudá-lo a entender melhor o comportamento dessa mudança.

    • 3

relate perguntas