Sql-Server

連接到 Sql-Server 時,密碼是否以明文形式發送?

  • November 5, 2013

我今天被問到這個問題,老實說,我不知道答案。如果您使用沒有 sspi的連接字元串連接到伺服器,是否有任何方法可以讓第 3 方通過網路攔截用於登錄的密碼?

"Data Source=MyServer;Initial Catalog=MyDatabase;User Id=sa;Password=CanThisBeSniffed;"

我不是在詢問 MiTM 攻擊,只是在同一台電腦上或在網路上的同一集線器上列出了帶有 wireshark 或類似東西的人。

我自己啟動了wireshark,並沒有以純文字形式看到它,但它可能是一個簡單的混淆或適當的加密,我只是想知道哪個。

SQL Server 2000 及更高版本(可能是 2005 及更高版本,我忘記了;它在我的新書中某處)SQL 身份驗證登錄(與 Windows 身份驗證相反)使用的身份驗證過程由自簽名 SSL 證書加密,該證書由安裝數據庫引擎時的 SQL Server 實例。

尼克提出了一個很好的觀點,因為那篇博文並不是你想要的。對於那個很抱歉。

MSDN 庫有關於配置 SSL 連接的細節http://msdn.microsoft.com/en-us/library/ms189067.aspx

但是,以下內容有點模棱兩可

Credentials (in the login packet) that are transmitted when a client application 
connects to SQL Server are always encrypted.

不完全清楚(無論如何對我來說)這是否意味著無論 SSL 設置如何,它們總是被加密。

如果你擔心它,我會啟用 SSL。

引用自:https://serverfault.com/questions/230403