11.07.2002
Die Meldung beruht auf der -- in einem Gespräch von einem Mitarbeiter des Microsoft-Supports bestätigten -- falschen Annahme, die Kennwörter aller Benutzer einer solchen Datenbank lagerten zwar verschlüsselt, aber doch für alle Anwender sichtbar in der Datenbank. Tatsächlich ist jedoch die erwähnte Tabelle sysusers eher aus historischen Gründen noch vorhanden. In der Spalte password enthält sie seit dem SQL Server 7.0 keine Daten mehr.
Die Benutzerkennwörter werden seitdem in der Master-Datenbank des Servers gespeichert; auf die dort vorhandene Tabelle sysxlogins, die die Benutzernamen und die verschlüsselten Kennwörter enthält, haben ausschließlich Systemadministratoren Zugriff. Wer sich die unverschlüsselten Kennwörter von Anwendern verschaffen will, benötigt also erst einmal Zugang über ein Administratorkonto -- und hat dann natürlich noch ganz andere Möglichkeiten, etwa an vertrauliche Daten zu gelangen.
Weiter in der Web-Version mit Fotos, Videos, Links und mehr...
Auch interessant!
Kennwörter in Microsofts SQL Server knacken
David Litchfield, Mitbegründer des englischen Softwarehauses Next Generation Security Software Ltd (NGSS)...