Mật khẩu đăng nhập SQL 2008 được lưu trữ ở đâu?

Tôi cần biết SQL Server 2008 thực sự lưu trữ mật khẩu nào. Đây là một câu hỏi đang được kiểm toán viên an ninh.

Tôi biết tôi có thể nhận được băm mật khẩu LOGINPROPERTY('bbellomo', 'PasswordHash'), nhưng điều đó không giúp tôi; Tôi cần biết làm thế nào chúng được lưu trữ.

Các mật khẩu không được lưu trữ trong bản rõ. Nếu kiểm toán viên thực sự cần tệp mà họ đang lưu trữ, hãy trỏ chúng vào tệp master.mdf. Tất nhiên, đây là thông tin đăng nhập SQL. Đối với thông tin đăng nhập Windows, SQL thậm chí không biết mật khẩu là gì; Active Directory xử lý xác thực.

Cố gắng xem xét sys.server_principalstên người dùng và mật khẩu có trong mastercơ sở dữ liệu. Nhưng mật khẩu không được lưu trữ trong bản rõ.

Kế hoạch thực hiện từ 'CHỌN mật khẩu TỪ syslogins' hiển thị mật khẩu được lưu trữ trong sys.sysxlgnscơ sở dữ liệu chính.

Hãy xem: Bảng cơ sở hệ thống

Dưới đây là mật khẩu, trong 2 định dạng duy nhất SQL Server sẽ hiển thị chúng cho chúng tôi:

SELECT name, password, LOGINPROPERTY(name, 'PasswordHash' ) hash
FROM syslogins
WHERE password IS NOT NULL
ORDER BY name

Bạn có thể có thể chuyển đổi giữa các định dạng một cách dễ dàng, nhưng tôi không biết làm thế nào.