Diese Website verwendet beste Cookies. Mit der Nutzung stimmen Sie der Speicherung zu.


» contator.net » WebNews » WebWizard.at » Magazin » News-Links  

26.4.2018 19:32      Benutzerkonto

eMail-Newsletter gratis:

Archiv | Abmelden | RSS/Feeds
Folge uns:
Wir sind in Facebook! Wir sind in Twitter! Wir sind in Google+! Wir sind in Youtube! Wir sind in Labarama!

Suche:

                                                                                                                                                                                                                                                                                                                                                                                                                                                                      














Neueste Artikel

Stream ohne Strom
DDOS-Attacken: Woher kommen die Angriffe?
Tarnkappe gegen Gesichtserkennung
Alexa wird böse
Regierung plant Zensur und Überwachung
Vanadiumdioxid statt Silizium?
EDV wird zu kompliziert
Künstliche Gehirne
mehr...








Autoszene #18


Aktuelle Highlights

DSGVO und Fotografie


 
WebWizard News-Links
10.07.2002 (Archiv)

Kennwörter in Microsofts SQL Server knacken

David Litchfield, Mitbegründer des englischen Softwarehauses Next Generation Security Software Ltd (NGSS), hat herausgefunden, wie die Benutzerkennwörter in Microsofts SQL Server gespeichert werden.

Mit diesem Wissen ist es nun um einiges einfacher, ein solches Kennwort zu erraten und sich so Zugang zur Datenbank zu verschaffen. Eigentlich schützt die im SQL Server vorhandene Funktion pwdencrypt die Passwörter: Sie wird automatisch aufgerufen, wenn ein Anwender ein neues Kennwort definiert, und verschlüsselt es, bevor es in der Datenbank gespeichert wird.

Auf die Datenbanktabelle sysusers, in der das verschlüsselte Kennwort landet, hat jeder Anwender Lesezugriff, denn bei der Anmeldung muss es ja gelesen werden. Der für die Verschlüsselung verwendete Hashing-Algorithmus macht es allerdings prinzipiell unmöglich, aus der Verschlüsselung das Kennwort wiederzugewinnen.

Wenn man aber das genaue Verfahren kennt, das die Funktion benutzt, kann man es in einem eigenen Programm nachbauen und dieses beispielsweise so lange mit dem Inhalt einer Wörterbuchdatei füttern, bis es ein mit dem verschlüsselten Kennwort identisches Ergebnis liefert. Da dieses Programm auf einem eigenen Rechner laufen kann, fallen dabei keine Datenbank-Zugriffe an, die bei einem aufmerksamen Administrator Verdacht erregen könnten.

Genau das ist Litchfeld nun gelungen: In einem als .pdf-Datei veröffentlichten Dokument beschreibt er haarklein den inneren Aufbau von pwdencrypt und liefert auch gleich das Listing für ein entsprechendes Crack-Programm mit. Diesem kommt sogar noch die Tatsache zugute, dass man für einen erfolgreichen Angriff in einem ersten Anlauf nur Kennwortkandidaten ausprobieren muss, die komplett aus Großbuchstaben bestehen -- in der Datenbank finden sich nebeneinander die Verschlüsselung des Originalkennworts und der in Großbuchstaben konvertierten Version.

Ob diese Erkenntnisse zu einem Patch für den SQL Server führen werden, ist derzeit in der deutschen Microsoft-Niederlassung noch nicht in Erfahrung zu bringen. Als Sicherheitsmaßnahme empfiehlt man dort, den SQL Server grundsätzlich so zu betreiben, dass sich Benutzer nicht über die Datenbank selbst, sondern über die in Windows NT beziehungsweise 2000 vorhandenen Funktionen zur Benutzeranmeldung authentifizieren.

Wo das nicht möglich ist, bleiben Administratoren von SQL-Server-Installationen wohl nur Richtlinien, wie sie generell im Umgang mit Kennwörtern sinnvoll sind: Sie sollten aus Kombinationen von Buchstaben, Ziffern und Sonderzeichen bestehen, die nicht in Wörterbüchern, Namenslisten und ähnlichem zu finden sind. Und man sollte sein Passwort regelmäßig wechseln, damit ein Angreifer möglichst kurz Freude an einem einmal erratenen Kennwort hat.

Ihre Meinung dazu? Schreiben Sie hier!


Kommen Sie auf unsere Facebook-Seite!
Wir sind in Google+ für Sie da...
Folgen Sie unserem Twitter-Feed hier...
Folgen Sie unserem Labarama-Blog...
Newsticker per eMail oder RSS/Feed!

Auch interessant!
'Sicherheitsloch' im SQL Server ist keines
Das am gestrigen Dienstag gemeldete angebliche Sicherheitsloch in Microsofts SQL Server 2000 hat sich bei...

Forum: Ihre Meinung dazu!

[AufZack Talk] [Forum]     
Posten Sie ins Forum dazu:
Betreff:

Ihre Meinung via Facebook posten:

   






Top Klicks | Archiv

Folge uns: | Facebook | Google+ | Youtube

 
 

  Sponsoren, Partner:
  


DSGVO und Fotografie



Kontakt mit Datenschutz



Passat Alltrack



Fotos lizensieren



Geschenke für Männer



DSG und Newsletter



Style 4/2018


Motorwelten Wien

Aktuell aus den Magazinen:
 DSGVO in der Fotografie Fotografen sollten sich auf den Datenschutz vorbereiten
 VW Neo 2019 Elektroauto als Golf-Nachfolger
 DSGVO Kontaktformulare im Web ändern!
 Newsletter und Datenschutz ab 2018 DSGVO bringt viel Neues für eMail-Versand
 Verträge für ADV DSGVO-Links für die Cloud

contator.net im Überblick:
 Webnews  WebWizard | Bundesland.at | Wien-Tipp.at | NewsTicker | contator.tv
 Business  Journal.at | Anfrage.net | plex | Seminar.At | BizTipp
 Auto  Auto.At | TunerAuto.At | OldtimerAuto.At | AutoTalk.At | AutoGuide.At | AutoBiz.At
 Freizeit  Style.at | Famili.at | Kinofilm.at | Musical.at | heavy.at | grlz | WitzBold | Advent.At
 Shopping  anna | Shoppingcity.at | SchatzWelt Gewinnspiele | Prozente.net Gutscheine
 Community  AufZack! | Flirtparty | Player | Schmuddelecke

Kontaktformular
Rechtliches
Copyright © 2018    Impressum    Adresse    Sitemap   
Mediadaten    Anfrage: hier werben!    Freies Web? Keine adblocker!
Tripple
      ad-locator.net    |    web-applicator.net