abkurenkov 18 июн 2019 в 10:28

Список пользователей с ненадежными паролями в MS SQL

2 мин

3.5K

Microsoft SQL Server*

Туториал

-9

Комментарии 12

sinneren 18 июн 2019 в 10:42

«ихнего», запятые перед «а», код не под катом, и хранение паролей в открытом виде — тут прекрасно всё.

Koneru 18 июн 2019 в 11:16

Ещё и в банке.

НЛО прилетело и опубликовало эту надпись здесь

abkurenkov 18 июн 2019 в 11:34

Каюсь ))), не парился с расстановкой правильных запятых и красивого слога — это просто технический скрипт для проверки у себя в конторе или у заказчика на наличие уязвимостей.

helg1978 18 июн 2019 в 10:47

если пароли нешифрованные и несоленые, то скрипт для подсчета количества ненадежных паролей короче:
SELECT COUNT(*) from users

HansHelmut 18 июн 2019 в 10:48

Это перевод? Словарик явно не под наш регион. Ожидал увидеть русские слова написанные латинскими буквами и всякого рода транслит. Как заметили выше, хранить пароли в не загифрованом виде это беда.

abkurenkov 18 июн 2019 в 11:33

Это не перевод. Как я уже писал выше, пароли скопипастены через гугление, да пароли в основном англоязычные без русских слов в английской раскладке. По сути можно погуглить и найти БД простых паролей для России, наверняка это есть.
Но тем не менее пароли типа «password», «123456» встречаются очень часто )))).

tempick 18 июн 2019 в 11:46

Если честно, давно не видел сайтов/приложений, где разрешают делать пароль только из цифр. Я думаю, в последнее время пароль, состоящий как минимум из одной маленькой буквы, одной большой буквы и одной цифры — это стандартное условие при регистрации. В «серьёзных» приложениях ещё обязателен и символ, который не относится ни к буквам, ни к цифрам. Да и большую роль играет подтверждение входа по смс. У меня от лк банка тоже пароль простой. Но там двухфакторная авторизация, и если у злоумышленника есть доступ к просмотру моих смс — то уже не имеет значения, какой сложности пароль у меня стоит.
А вообще, если у ребят пароли в базе хранятся не в виде хэша (или просто хэш вроде md5), то все аккаунты всех пользователей уязвимы изначально

Graf54r 18 июн 2019 в 11:56

как раз доступ к смс сейчас уже не новость. и считать что раз смс у них есть, то спасения нет — как минимум не безопасно.

tempick 18 июн 2019 в 12:43

ну это-то понятно) Я имею в виду, что если доступ к смс есть — то никакой пароль уже, как правило, не спасёт, каким бы сложным он не был. Второе ваше предложение не понял, сори

dss_kalika 18 июн 2019 в 11:59

На Dev-среде, частенько, пароли одинаковые у всех пользователей/клиентов, что бы можно было легко зайти под ними и посмотреть что как выглядит с их стороны.

uaggster 15 июл 2019 в 04:44

А поставить галочку: "Требовать соблюдения политики надежности паролей" — слабо?

Зарегистрируйтесь на Хабре, чтобы оставить комментарий