Microsoft SQL Server lekt wachtwoorden

ho ho, dat lag aan de gebruiker, dat vertelde Apple zelf en die hebben altijd gelijk!

De iPlof heeft hij tenslotte zelf gekocht, eigen schuld dus ;)

Moest ie echt ontploffen dan heb je gelijk, maar het gaat hier niet over de iPhone.

Maar OK eerst jullie zoveelste FUD-poging eens makkelijk weerleggen:
1) de iPhone ontploft duidelijk niet (MS-media blazen dit maar al te graag op en de onwetende resthoop is er mee weg)
2) is op zijn minst gerelateerd met onoordeelkundig gebruik (onderzoek Apple)
3) 17 op 47.000.000 : aan die verhouding moet iedere (Philips)gloeilamp elk huis uit.

Wat het echte onderwerp betreft:
Een admin kan hier makkelijk het password achterhalen van een andere admin.

KLEINE SECURITY-AMATEURTJES zijn het bij MS.

De kleren van de keizer vallen keer op keer af, maar doe gerust verder hoor. Jullie storen niemand, toch niemand die het echt iets kan schelen...!

Troll-troll-allert, want de passwords liggen hier weldegelijk voor het grijpen.
Begin jij maar weeral rap over iets anders, de feiten zijn er... ;-)

en ook tegen interne bedreigingen (incompetentie van de beheerder).

Uiteindelijk is er intern altijd iemand met de hoogste rechten en die kan nagenoeg doen wat hij wil. Wat valt er nog te beveiligen als je je eigen administrator niet kunt vertrouwen???

Dit zijn slechte smoezen. Je suggereert dat een systeembeheerder wachtwoorden aan gebruikers moet vragen om een probleem op te lossen, wat ik wat raar vind maar vooruit. En verder dat er gebruik wordt gemaakt van onveilige constructies door gebruikers. Kortom een erg losse aanpak, om het vriendelijk te zeggen.

Het artikel gaat over een dubieuze 'feature' van de software, dus iets waar een organisatie die z'n zaken wel heel strak op orde heeft ook nog eens rekening mee moet gaan houden.

Een admin kan een user aanmaken, zijn dingetje doen, de user weer weghalen en de logfiles wissen. Een foute admin die het systeem goed kent kan zijn sporen echt wel uitwissen, op welk systeem en op welk OS dan ook.

Dat is incorrect. De user die de admin aanmaakt, al een ander ID hebben, tevens is de hash van het wachtwoord niet hetzelfde, indien het systeem correct functioneert (nvt hier dus).

Neem bijv. SE Linux, daar zijn jouw gesuggereerde handelingen niet mogelijk zonder dat het gelogd wordt.

Kaiser Söze zei op Donderdag 3 September 2009 21:20
Een admin kan een user aanmaken, zijn dingetje doen, de user weer weghalen en de logfiles wissen. Een foute admin die het systeem goed kent kan zijn sporen echt wel uitwissen, op welk systeem en op welk OS dan ook.
Dat is - tot op zekere hoogte - natuurlijk wel zo, maar ik ken maar EEN systeem waar de passwords (hoe is het mogelijk cq. hoe durven zij dat zo (opzettelijk ??) onveilig te doen ?) in klare taal dwz. als een soort van .txt te bewaren !!
Bij de systemen waar ik mee werk kan de root ("sysadmin") inderdaad ook een user-account aanmaken of juist verwijderen - maar zelfs de root kan nooit zomaar even snel het password van een ander achterhalen. (Nu ja, dat kan natuurlijk wel - maar dat kost zo veel tijd en moeite dat het daardoor eigenlijk maar heel weinig zin heeft. Afgezien dat men dan ook en vooral vrij goed moet zijn in het kraken van allerlei encryption-systemen en dat gaat dus bepaald niet vanzelf - aangenomen dat men slimme, niet gemakkelijk te raden passwords gebruikt heeft... ;-) )

Zij hebben bij "die firma" heel zeker nog nooit van "shadow" gehoord, waarbij passwords - ALLE (user, etc.) passwords bedoel ik dan - alleen in behoorlijk goed encrypted vorm bewaard worden. Zo als het ook behoort te worden gedaan !! Dit is behoorlijk veilig en geeft aldus een zeer acceptabel niveau van password- en daarmee gebruikers- veiligheid.
Tenzij - en dat dit heel wel mogelijk is bij de systemen van die "bekende firma" - een keylogger in het "besturings"-systeem zit ingebouwd (jawel, door de "fabrikant" zelf...) of er via een virus/trojan/worm in terecht is gekomen. In dat geval houdt het natuurlijk inderdaad helemaal op, daarom: gebruik slechts systemen waarbij dit (zo goed als) onmogelijk kan gebeuren.

Nogmaals: veiligheid (ook in alle niet-ICT zaken) is altijd een policy aka een werkwijze . Wie een intrinsiek veilig systeem gebruikt EN zich in haar of zijn achterhoofd voortdurend bewust is van wat er (ondanks de ingebouwde veiligheid) allemaal mis zou kunnen gaan ten aanzien van de veiligheid, die werkt daardoor al onvergelijkbaar veel veiliger (en beter !) dan iemand die dat totaal niet doet en maar raak klikt op "OK" in de absurde gedachte "toch niets te verbergen te hebben" en daardoor automagically onkwetsbaar te zijn. Sheeple "security policy" noem ik dat, of beter gezegd: "INsecurity"...

Dit berichtje begint waarachtig wel wat te lijken op een (1-ste) les in elementaire beveiliging van informatie-systemen - al is het op de systemen van 1 bepaalde firma onbegonnen werk om de boel echt goed veilig te (proberen/ willen...) krijgen. Daarom: iedereen die verplicht wordt daarmee te "werken": alle sterkte toegewenst, dat zult u heel hard nodig hebben...