連接到 Sql-Server 時，密碼是否以明文形式發送？

我今天被問到這個問題，老實說，我不知道答案。如果您使用沒有 sspi的連接字元串連接到伺服器，是否有任何方法可以讓第 3 方通過網路攔截用於登錄的密碼？

"Data Source=MyServer;Initial Catalog=MyDatabase;User Id=sa;Password=CanThisBeSniffed;"

我不是在詢問 MiTM 攻擊，只是在同一台電腦上或在網路上的同一集線器上列出了帶有 wireshark 或類似東西的人。

我自己啟動了wireshark，並沒有以純文字形式看到它，但它可能是一個簡單的混淆或適當的加密，我只是想知道哪個。

SQL Server 2000 及更高版本（可能是 2005 及更高版本，我忘記了；它在我的新書中某處）SQL 身份驗證登錄（與 Windows 身份驗證相反）使用的身份驗證過程由自簽名 SSL 證書加密，該證書由安裝數據庫引擎時的 SQL Server 實例。

尼克提出了一個很好的觀點，因為那篇博文並不是你想要的。對於那個很抱歉。

MSDN 庫有關於配置 SSL 連接的細節http://msdn.microsoft.com/en-us/library/ms189067.aspx

但是，以下內容有點模棱兩可

Credentials (in the login packet) that are transmitted when a client application 
connects to SQL Server are always encrypted.

不完全清楚（無論如何對我來說）這是否意味著無論 SSL 設置如何，它們總是被加密。

如果你擔心它，我會啟用 SSL。

引用自：https://serverfault.com/questions/230403