Man skal være forsigtig med, hvilke adgangskoder, man vælger til at passe på sine systemer. Det er ikke nogen god idé at slå op i Retskrivningsordbogen for at finde et administratorkodeord til sin Microsoft SQL Server.
Et britisk sikkerhedsfirma har offentliggjort, hvordan kodeord lagres i password-filen på Microsoft SQL Server. Det viser sig at være lettere end hidtil antaget at lave et simpelt program, der kan knække kodeordet blot ved at prøve sig frem.
Der er ikke tale om en egentlig sårbarhed, men det understreger vigtigheden af at vælge vigtige adgangskoder med omhu.
Når et kodeord lagres i password-filen på MS SQL Serveren, ser den nogenlunde sådan her ud:
0x0100 84449305 43174C59 CC918D34 B6A12C9C C9EF99C4 769F819B 43174C59 CC918D34 B6A12C9C C9EF99C4 769F819B
Hvis man kigger nærmere efter, vil man se, at den grønne og den røde del er ens. Den røde del er kodeordet gemt uden forskel på store og små bogstaver. Det gør det lettere at knække kodeordet, fordi man derved reducerer antallet af bogstavkombinationer væsentligt.
Når man først har fundet adgangskoden skrevet med store bogstaver, er der relativt få muligheder for, hvilke bogstaver der er henholdvis store og små. Dermed kan man knække den første del (den grønne) af det lagrede kodeord og få adgang til systemet.
David Litchfield fra Next Generation Security Software, der står bag analysen, har desuden skrevet et lille program, der kan hjælpe systemadministratorer med at finde de dårlige adgangskoder før hackerne.
Microsoft SQL Server understøtter, ligesom mange andre systemer, adgangskoder, der indeholder specielle tegn. En god, sikker adgangskode er altså ikke "solskin", som man kan finde i en ordbog, men snarere "gh42-QaA7".
Relevante links:
Next Generation Security Software
Cracking Microsoft SQL Passwords
Microsoft
