sqlschool.gr logo

articles

Articles of SQLschool.gr Team

How to find SQL Logins with common passwords

Antonios Chatzipavlis
Sunday 23 February 2020

Είναι η δουλειά μου να ελέγχω SQL Server instance με σκοπό να βρω προβλήματα ή σημεία που είναι εκτός των best practices που όλοι ζητάνε αλλά δεν έχουν εφαρμοστεί.

Ένα από τα πράγματα που ελέγχω είναι το security του instance. Ένας από τους πολλούς ελέγχους που διενεργώ είναι να βρω τα SQL Logins που έχουν blank password και που έχω γράψει για αυτό πριν από χρόνια στο post αυτό.

Τα τελευταία χρόνια έχω προσθέσει πολλά πράγματα ακόμα καθώς οι απαιτήσεις μεγαλώνουν συνέχεια και ένα από αυτά είναι να ελέγχω αν τα SQL Logins έχουν σαν password κάτι κοινό (common όπως λενε στα ελληνικά :) ).

Στο internet θα βρείτε πολλές τέτοιες λίστες τις οποίες και μπορείτε να χρησιμοποιήσετε.

Προσωπικά έχω φτιάξει μια με τα περισσότερο συνηθισμένα την οποία και έχω στο github και μπορείτε ελεύθερα να χρησιμοποιήσετε αλλά και αν θέλετε να εμπλουτίσετε ώστε να γίνει καλύτερη.

Το πως μπορείτε να χρησιμοποιήσετε αυτή είναι εύκολο αρκεί να ακολουθήσετε τα εξής βήματα:

  • Download από το github την λίστα και βάλτε την σε ένα οποιοδήποτε folder στο SQL Server instance που θέλετε να ελέγξετε.
  • Εκτελέστε το παρακάτω script αφού πρώτα αλλάξετε το path στο BULK INSERT statement

Το αποτέλεσμα ίσως σας προβληματίσει.

if object_id('tempdb..#commonpass') is not null
begin
    drop table #commonpass;
end;
create table #commonpass (pass nvarchar(64));
BULK INSERT #commonpass FROM 'W:\TEMP\CommonPasswords.txt';
with pass_check_result as
(
    select 
            name 
        ,   is_disabled
        ,    pass
        ,    case PWDCOMPARE(pass,password_hash)
            when 0 then 'N'
            when 1 then 'Y'
            end as has_common_password
    from sys.sql_logins
    cross join #commonpass
)
select distinct name,is_disabled,pass
from pass_check_result
where has_common_password='Y';


//antonch

Antonios Chatzipavlis

Antonios Chatzipavlis

Antonios is a Data Solutions Consultant and Trainer. He has been working in IT since 1988. In his career, he has worked as senior developer, IT Manager, Solutions Architect and IT Consultant. Since 1995 he has been devoted on new technologies and software development tools, mainly by Microsoft, either by training company staff and colleagues or assisting them in design, development and implementation as a consultant or chief developer. He has focused in Databases and Data Science since 1995. He specialized in Microsoft SQL Server since version 6.0 in areas like SQL Server Internals, Database Design and Development, Business Intelligence and in 2010 he has started working with Azure Data Platform, NoSQL databases, Big Data Technologies and Machine Learning. He is an active member of many IT communities in Greece, answering colleagues' questions and writing articles in his web site. He is the owner of SQLschool.gr which is a community portal with a lot of information about Microsoft SQL Server. He has been a Microsoft Certified Trainer (MCT) since 2000. Microsoft honored him as MVP on Data Platform due to his activities in SQL Server since 2010. He holds a large number of Microsoft Certifications and Microsoft SQL Server Certifications since version 6.5.

Episode

First look: SQL Database in Microsoft Fabric

image

More Episodes...

Tip

What's New in SQL Server 2022 - Episodes

More Tips...

Become a member

If you want to receive updates from us become a member to our community.

Connect

Explore

Learn


sqlschool.gr © 2010-2024 All rights reserved

This site uses cookies for operational and analytics purposes only. By continuing to browse this site, you agree to their use.