Sql server tsql-强密码

使用t-sql，如何查找所有sql登录在sql 2000和2005服务器上是否都有强密码

任何帮助，非常感谢

问候

---

曼乔，你不能！如果你能识别弱密码，这将是一个安全问题。您可能希望强制所有用户更改其密码并强制实施密码策略

爆竹：

// pseudocode:
foreach (var username in 
   exec(@"SELECT username FROM hypothetical.fn_get_users_with_weak_passwords()"))
    PerformDictionaryAttack(username);

---

不太好。。。是吗？

我无法想象一个了解他/她的资料的审计员会要求您检查数据库中密码的强度，如上所述，无论您的权限如何，您都无法在Db服务器上查询密码。他们很可能会问你密码和密码强度的过程是什么

登录应绑定到域帐户，并且域控制器应具有强制使用强密码的配置文件，至少在windows世界中是这样

对于非用户，即web应用程序、报告等，应在域级别为应用程序创建一个功能帐户，或者更好地为使用数据库的组创建一个功能帐户

---

出于审计目的，我们基本上就是这样做的，从管理员的角度来看，让windows域控制器做自己的事情和处理登录方面的事情要容易得多。

是的，这是可能的，某种程度上

SQL 2005可以链接到组策略密码策略。这意味着您可以让SQL登录密码与NT登录密码具有相同的长度、有效期等。当然，如果您没有策略，为什么他们会担心SQL登录

对于这两个版本，您都可以使用来强制执行密码哈希。如果你快速破解密码（天？周？月？），那么它们就不够好

如果您想要一个纯T-SQL解决方案，您可以通过使用pwdencrypt函数和一个循环来模拟Squirrel来运行所有排列

否则：不可以。您只能通过破解密码来检查密码

---

碰巧的是，我们到处使用域服务/系统帐户：我们根本没有SQL登录。

我想你最好的办法是使用一个，似乎可以完成任务的蛮力方法。

我有系统管理员权限。出于审计目的，我需要查找登录名是否具有弱密码。没有什么可以审核的吗？曼约特：没有。不管你是不是系统管理员。管理员可以更改密码，但他们看不到当前的密码。好吧，更准确地说，官方没有办法做到这一点。一定有什么，希望我会尝试找到答案，如果找到答案，请在这里发布。谢谢你的评论。我认为@gbn所说的“强制密码策略”对我的工作有好处。另外：感谢密码被哈希有一个很好的理由…这就是其中之一。检查策略就可以了。谢谢你的评论。