Saber contraseña de usuario

que yo sepa no podes!! imaginate si se pudiera??? seria un desastre total
no? y si por TSQL se puede saber una clave yo personalmente cambiara ya
mismo de motor de BDD ;-)

Para q queres saber la clave de un usuario? que sentido tiene esto?


Maximiliano Damian Accotto
"Barrish" escribió en el mensaje
news:

Hola a todos,
¿es posible el saber la contraseña de un usuario mediante T-SQL?

Gracias y un saludo

La verdad es que hay herramientas en el mercado que permiten conocer las
claves de cualquier inicio de sesión en SQL Server (inluyendo la del sa). No
pondré aquí las direcciones donde encontrarlas, pero cualquier persona que
sepa utilizar google no debería tener muchos problemas para encontrarlos.

Estas herramientas operan basicamente mediante fuerza bruta probando claves
aleatorias o mediante un extenso diccionario hasta que lo consiguen, ya que
los inicios de sesión en SQL Server no tienen los mismos criterios de
seguridad que los de Windows (como por ejemplo bloquear un inicio de sesión
tras un determinado número de intentos fallidos de conexión). Es por este
motivo que Microsoft recomienda que se utilice seguridad integrada de
Windows siempre que se pueda.

Por cierto, que cada nueva versión de SQL Server ha endurecido el modo en
que se encripta esta información, pero aún no existe protección para ataques
de penetración mediante fuerza bruta, salvo un adecuado monitoreo del
sistema.

Por cierto que este problema va a tener solución en la próxima versión de
SQL Server.

Fernando G. Guerrero
SQL Server MVP
CEO & Principal Mentor
Solid Quality Learning
www.solidqualitylearning.com

"Comparte lo que sabes, aprende lo que no sepas"

"Maximiliano Damian Accotto" wrote in
message news:

que yo sepa no podes!! imaginate si se pudiera??? seria un desastre total
no? y si por TSQL se puede saber una clave yo personalmente cambiara ya
mismo de motor de BDD ;-)

Para q queres saber la clave de un usuario? que sentido tiene esto?


Maximiliano Damian Accotto
"Barrish" escribió en el mensaje
news:
> Hola a todos,
> ¿es posible el saber la contraseña de un usuario mediante T-SQL?
>
> Gracias y un saludo
>
>

Gracias a los dos por contestar.

Os explico el porqué de querer saber la contraseña de un usuario:

Utilizo MSDE en mi aplicación, por lo que he hecho una pequeña consola de
administración intentando imitar la que viene con Sql Server en la que se
permiten la creación de usuarios y bases de datos, así como asignar los
permisos de cada usuario en cada base de datos.
Al crear un nuevo usuario se introduce su nombre, contraseña y se asignan
sus permisos.
El hecho es que al modificar el usuario, debería poder introducir su
contraseña mediante asteriscos en el campo de contraseña, sino me encuentro
que al modificar cualquier usuario, si no se acuerdan de volver a escribir
la contraseña, queda en blanco.

Es decir, imaginaros que al modificar las propiedades de un inicio de sesión
en Sql Server, no se pusiera automáticamente la contraseña que tiene ese
inicio de sesión. Al guardar los datos estaríais guardando la contraseña en
blanco.

Creía que habría alguna manera de recuperar dicha contraseña, pero creo que
tendré que modificar el diseño de la pantalla.

Gracias de nuevo y un saludo
Santiago Barro


"Fernando G. Guerrero" escribió en el mensaje
news:

La verdad es que hay herramientas en el mercado que permiten conocer las
claves de cualquier inicio de sesión en SQL Server (inluyendo la del sa).

No

pondré aquí las direcciones donde encontrarlas, pero cualquier persona que
sepa utilizar google no debería tener muchos problemas para encontrarlos.

Estas herramientas operan basicamente mediante fuerza bruta probando

claves

aleatorias o mediante un extenso diccionario hasta que lo consiguen, ya

que

los inicios de sesión en SQL Server no tienen los mismos criterios de
seguridad que los de Windows (como por ejemplo bloquear un inicio de

sesión

tras un determinado número de intentos fallidos de conexión). Es por este
motivo que Microsoft recomienda que se utilice seguridad integrada de
Windows siempre que se pueda.

Por cierto, que cada nueva versión de SQL Server ha endurecido el modo en
que se encripta esta información, pero aún no existe protección para

ataques

de penetración mediante fuerza bruta, salvo un adecuado monitoreo del
sistema.

Por cierto que este problema va a tener solución en la próxima versión de
SQL Server.

Fernando G. Guerrero
SQL Server MVP
CEO & Principal Mentor
Solid Quality Learning
www.solidqualitylearning.com

"Comparte lo que sabes, aprende lo que no sepas"

"Maximiliano Damian Accotto" wrote in
message news:
> que yo sepa no podes!! imaginate si se pudiera??? seria un desastre

total

> no? y si por TSQL se puede saber una clave yo personalmente cambiara ya
> mismo de motor de BDD ;-)
>
> Para q queres saber la clave de un usuario? que sentido tiene esto?
>
>
> Maximiliano Damian Accotto
> "Barrish" escribió en el mensaje
> news:
> > Hola a todos,
> > ¿es posible el saber la contraseña de un usuario mediante T-SQL?
> >
> > Gracias y un saludo
> >
> >
>
>

puedes implementar la lógica y si está en blanco no llama a sp_password, con
lo que no se cambia...

Saludos
miguel Egea
"Barrish" escribió en el mensaje
news:u#

Gracias a los dos por contestar.

Os explico el porqué de querer saber la contraseña de un usuario:

Utilizo MSDE en mi aplicación, por lo que he hecho una pequeña consola de
administración intentando imitar la que viene con Sql Server en la que se
permiten la creación de usuarios y bases de datos, así como asignar los
permisos de cada usuario en cada base de datos.
Al crear un nuevo usuario se introduce su nombre, contraseña y se asignan
sus permisos.
El hecho es que al modificar el usuario, debería poder introducir su
contraseña mediante asteriscos en el campo de contraseña, sino me

encuentro

que al modificar cualquier usuario, si no se acuerdan de volver a escribir
la contraseña, queda en blanco.

Es decir, imaginaros que al modificar las propiedades de un inicio de

sesión

en Sql Server, no se pusiera automáticamente la contraseña que tiene ese
inicio de sesión. Al guardar los datos estaríais guardando la contraseña

en

blanco.

Creía que habría alguna manera de recuperar dicha contraseña, pero creo

que

tendré que modificar el diseño de la pantalla.

Gracias de nuevo y un saludo
Santiago Barro


"Fernando G. Guerrero" escribió en el

mensaje

news:
> La verdad es que hay herramientas en el mercado que permiten conocer las
> claves de cualquier inicio de sesión en SQL Server (inluyendo la del

sa).

No
> pondré aquí las direcciones donde encontrarlas, pero cualquier persona

que

> sepa utilizar google no debería tener muchos problemas para

encontrarlos.

>
> Estas herramientas operan basicamente mediante fuerza bruta probando
claves
> aleatorias o mediante un extenso diccionario hasta que lo consiguen, ya
que
> los inicios de sesión en SQL Server no tienen los mismos criterios de
> seguridad que los de Windows (como por ejemplo bloquear un inicio de
sesión
> tras un determinado número de intentos fallidos de conexión). Es por

este

> motivo que Microsoft recomienda que se utilice seguridad integrada de
> Windows siempre que se pueda.
>
> Por cierto, que cada nueva versión de SQL Server ha endurecido el modo

en

> que se encripta esta información, pero aún no existe protección para
ataques
> de penetración mediante fuerza bruta, salvo un adecuado monitoreo del
> sistema.
>
> Por cierto que este problema va a tener solución en la próxima versión

de

> SQL Server.
>
> Fernando G. Guerrero
> SQL Server MVP
> CEO & Principal Mentor
> Solid Quality Learning
> www.solidqualitylearning.com
>
> "Comparte lo que sabes, aprende lo que no sepas"
>
> "Maximiliano Damian Accotto" wrote

in

> message news:
> > que yo sepa no podes!! imaginate si se pudiera??? seria un desastre
total
> > no? y si por TSQL se puede saber una clave yo personalmente cambiara

ya

> > mismo de motor de BDD ;-)
> >
> > Para q queres saber la clave de un usuario? que sentido tiene esto?
> >
> >
> > Maximiliano Damian Accotto
> > "Barrish" escribió en el mensaje
> > news:
> > > Hola a todos,
> > > ¿es posible el saber la contraseña de un usuario mediante T-SQL?
> > >
> > > Gracias y un saludo
> > >
> > >
> >
> >
>
>