SQL-Passwörter eher sicher

Das britische Sicherheitsunternehmen Next Generation Security Software hat gestern mit einer Warnung vor unsicheren Passwörtern in der SQL-Datenbank von Microsoft (Börse Frankfurt: MSF) auf sich aufmerksam gemacht. Zu Unrecht, wie der Softwareriese heute beteuerte: Ausschließlich Datenbank-Administratoren könnten mit der beschriebenen Methode die Passwörter der Anwender knacken. Ob dies jedoch als Sicherheitsloch bezeichnet werden kann, dürfe bezweifelt werden.

Um die Passwörter erfolgreich auszuspionieren, müssten mindestens folgende zwei Punkte gegeben sein: Der SQL-Server läuft erstens im Mixed Mode. Das heißt, die Anmeldung erfolgt direkt an der Datenbank. Diese Methode wird von Microsoft nicht empfohlen. Selbst wenn die Datenbank im Mixed Mode laufe, benötigte der Anwender zweitens Administratoren-Rechte, um die Passwörter der Anwender zu knacken. Wenn es aber um das Ausspionieren von Daten gehe, könne dies als Administrator besser als mit über die Passwörter bewerkstelligt werden. Zumal der Administrator sowieso sämtliche Anwender-Passwörter in jeden beliebigen Wert ändern könne.

Der SQL-Server steht seit längerem in der Kritik von Sicherheitsexperten. Erst vor wenigen Tagen hatten Experten der Softwarefirma Internet Security Systems (ISS; Börse Frankfurt: ISX) mitgeteilt, ein Fehler in der XML-Implementierung habe Angreifern im vergangenen Quartal gezielte Denial-of-Service und Systemeinbrüche ermöglicht.

Kontakt: Microsoft, Tel.: 089/31760 (günstigsten Tarif anzeigen)