نمایش نتایج 1 تا 4 از 4

نام تاپیک: نگاهی به نحوه‌ی نگه‌داری کلمات عبور در Microsoft SQL Server

  1. #1
    کاربر دائمی
    تاریخ عضویت
    بهمن 1382
    محل زندگی
    فعلا ایران - فعلا تهران
    پست
    2,629

    نگاهی به نحوه‌ی نگه‌داری کلمات عبور در Microsoft SQL Server

    یکی از قوی‌ترین ابزارهای مدیریت بانک‌های اطلاعاتی [1] ، محصول شرکت Microsoft به نام Microsoft SQL Server® است. درسال 1995 شرکت Microsoft امتیاز تولید مشترک پروژه‌ی SQL Server را از Sybase®خرید و محصول خود را با نام Microsoft SQL Server به بازار معرفی کرد.
    اولین نسخه از سری MSSQL Server با نگارش 6 به بازار آمد و این درحالی بود که حتا تا چند سال پس از آن، هرگاه صحبت از محلی برای نگه‌داری اطلاعات به میان می‌آمد، همه‌ی نگاه‌ها به Oracle®معطوف می‌شد. تا این‌که Microsoft نگارش 7 از سری MSSQL Server را پس از یک مهندسی مجدد در ساختار این برنامه ارایه کرد. با ارائه‌ی این نگارش Microsoft فصل نوینی را در زمینه‌ی تولید سیستم‌های مدیریت بانک اطلاعاتی آغاز کرد و توانست اکثریت این بازار را تحت پوشش خود قرار دهد. تا جایی‌‌که در پایان سال 200 بیش از60% تمام بانک‌های اطلاعاتی وب و 70% از تمام بانک‌های اطلاعاتی تحت سیستم عامل Windows® ، MS SQL بوده اند.
    امنیت ، به‌طور یقین یکی از مواردی‌ست که کاربران این‌گونه سیستم‌ها به آن بهای زیادی می‌دهند. در این مقاله به دور از اظهار نظر درمورد قدرت یا ضعف برنامه‌ی MSSQL Server در این زمینه، قصد بررسی وضعیت نگه‌داری کلمات عبور کاربران در آن را داریم.
    چگونه MSSQLServer® کلمات عبور را نگه‌داری می‌کند؟
    SQL Serverاز یک تابع مستند نشده – ()PWDencrypt - برای مخلوط کردن [2] کلمات عبور کاربران، که در جدول SysxLogins در بانک اطلاعاتی Master نگه‌داری می‌شود، استفاده می‌کند. جزییات تابع PWDencrypt()تاکنون منتشر نشده است.
    مخلوط کلمه‌ی عبور در MSSQL Server شبیه چیست؟
    دستورات زیر را در Query Analyzer یا هر برنامه‌ی دلخواه خود تایپ کنید:
    Select Password from Master.dbo.sysxlogins where name = 'sa'
    چیزی شبیه به این را خواهید یافت:
    0x0100DF4C0B1E72BB7F9B3DB61DA3648B716FA8956FB20D12 6A751CABC25790961AB6EF9E86D59CFC0D5108272FFF
    این مخلوط کلمه‌ی عبور برای کاربر ‘SA' در دستگاه من است.
    چه می‌توانیم از PWDencrypt() بیرون بکشیم؟
    دستور زیر را وارد کنید:
    Select PWDencrypt('abc')

    نتیجه:
    0x0100EC02A44A2181C888A7B431778FBF2E4C1A620ABDEAAD 3A6698979F269A93E2871DDC0A65DC48015C9E5B1A55
    چند ثانیه‌ی بعد مجدداً آن را اجرا کنید:
    0x0100D003A945B84B42D6CB19060453CD906BE04BC9610BB0 F54D40227748F3CE571C5762BBA61A9E7F03267071B3
    دو مخلوط متفاوتند درحالی که ورودی ما( ‘abc' ) ثابت بود. پس زمان نقش مهمی را در روند تهیه و نگه‌داری مخلوط‌ها بازی می‌کند. دلیل آن هم این است که اگر دو نفر از یک کلمه‌ی عبور استفاده کنند، مخلوط کلمات عبورشان متفاوت خواهد بود و درنتیجه یکسان بودن آن‌ها را نمی‌توان فهمید.
    بزرگی و کوچکی حروف
    دستور زیر را اجرا کنید:
    Select PWDencrypt('AABBCCDD')
    تنیجه:
    0x01001F09D27F363FD03442CFC83D00BFFC185D656591541B 006D363FD03442CFC83D00BFFC185D656591541B006D
    با کمی جابجایی داریم:
    0x0100
    1F09D27F
    363FD03442CFC83D00BFFC185D656591541B006D
    363FD03442CFC83D00BFFC185D656591541B006D
    همان‌طور که می‌بینید، 40نویسه‌ی [3] آخر با 40تای یکی مانده به آخر برابر است. با چند آزمایش نظیر می‌توان دریافت که کلمات عبور درواقع 2بار نگه‌داری می‌شوند. یک‌بار به‌حالت عادی و یک‌بار هم به صورت حروف بزرگ. حال اگر برنامه‌ای بخواهد از روش سعی و خطا برای به دست آوردن کلمات عبور استفاده کند، می‌تواند به جای امتحان کردن تمام حروف، یک‌بار به صورت کوچک و یک‌بار به صورت بزرگ، تنها حالت بزرگ را امتحان کند و این تعداد حروف را کمتر و کار را راحت‌تر می‌کند.
    نقش زمان
    دریافتیم که تغییر زمان باعث تغییر مخلوط می‌شود. نیز می‌دانیم که باید داده‌ای از آن زمان همواره در دست باشد تا وقتی کاربری اقدام به ورود به MSSQL Server می‌کند، بتوان کلمه‌ی وارد شده توسط او را با کلمه‌ی عبور مخلوط شده مقایسه کرد. آن داده بخش اول از مخلوط است (هشت نویسه‌ی قبل از دو دسته‌ی 40تایی). درمثال بالا داشتیم:
    0x0100
    1F09D27F
    363FD03442CFC83D00BFFC185D656591541B006D
    363FD03442CFC83D00BFFC185D656591541B006D
    اطلاعات مورد نظر ما 1F09D27F است و اتفاقی که می‌افتد از این قرار است:
    ابتدا تابع Time() –در زبان C - فراخوانده شده و نتیجه‌ی آن به عنوان ورودی تابع SRand() استفاده می‌گردد. حاصل این تابع یک نقطه‌ی آغاز برای تهیه‌ی اعدادی دروغین خواهد بود. حال تابع Rand() فراخوانی می‌شود. عدد برگردانده شده به صورت رشته(نه عدد) نگه‌داری می‌شود. این عدد را i1 درنظر بگیرید. یک‌بار دیگر تابع Rand() فراخوانی شده عدد کاذب دیگری برایمان فراهم می‌کند. این عدد را نیز i2 می‌نامیم. حال اعداد i1 و i2 کنارهم قرار می‌گیرند( :i1:i1 ) و یک عدد واقعی را می‌سازند. به صورتی که i1 بخش پرارزش و i2 بخش کم ارزش آن عدد است.
    مخلوط کلمه‌ی عبور
    کلمه‌ی عبور کاربران به فرم UNICODE تبدیل می‌شود- اگر نبود- سپس عدد ساخته شده در بخش قبل به انتهای آن اضافه می‌شود و حاصل به تابع Crypt در Advapi32.dll ارسال می‌شود تا به‌کمک الگوریتم "مخلوط سازی امن [4] " یا SHA یک مخلوط از آن ساخته شود. سپس کلمه‌ی عبور به حالت بزرگ تبدیل می‌شود، یکبار دیگر عدد ساخته شده به انتهای آن اضافه می‌شود و یک مخلوط دیگر به دست می‌آید:
    0x0100 یک مقدار ثابت
    1F09D27F Rand () عدد ساخته شده توسط
    363FD03442CFC83D00BFFC185D656591541B006D مخلوط کلمه‌ی عبور
    363FD03442CFC83D00BFFC185D656591541B006D مخلوط حالت بزرگ کلمه‌ی عبور
    روند تصدیق کلمه‌ی عبور کاربران.
    هنگامی که یک کاربر سعی در وارد شدن به MSSQLServer دارد، ابتدا SQL Server بخش مربوط به زمان (و مربوط به این کاربر) را از داخل جدول Master.dbo.sysxlogins خارج می‌کند. سپس آن را یک‌بار به انتهای کلمه‌ی عبور وارد شده‌ی کاربر و بار دیگر به انتهار کلمه‌ی عبور وارد شده باحروف بزرگ می‌چسباند و با الگوریتم گفته شده یک مخلوط ساخته می‌شود. اگر این مخلوط با مخلوط موجود در جدول یکسان بود، کاربر می‍‌تواند وارد شود. درغیر این صورت کلمه‌ی عبور او اشتباه است
    نویسنده آزاد کمالی روستا




  2. #2
    دست شما درد نکنه بابک جان

  3. #3
    بسیار عالی

  4. #4
    کاربر دائمی آواتار shayan_delphi
    تاریخ عضویت
    مرداد 1384
    محل زندگی
    اصفهان
    پست
    274
    سلام
    آقای زواری مقاله بسیار جالبی بود.دست شما درد نکنه.

تاپیک های مشابه

  1. مشکل در نصب Microsoft SQL Server 2005 CTP
    نوشته شده توسط mrm0101 در بخش SQL Server
    پاسخ: 1
    آخرین پست: دوشنبه 26 آذر 1386, 17:47 عصر
  2. طای HTTP/1.1 500 Server Error Server: Microsoft-IIS/5.1 Date...
    نوشته شده توسط nak303 در بخش PHP
    پاسخ: 0
    آخرین پست: سه شنبه 25 بهمن 1384, 10:02 صبح
  3. Microsoft Commerce Server 2002
    نوشته شده توسط ghaum در بخش شبکه و Networking‌
    پاسخ: 0
    آخرین پست: یک شنبه 22 آذر 1383, 07:58 صبح
  4. Microsoft Content Management Server
    نوشته شده توسط khafanovich در بخش ASP.NET Web Forms
    پاسخ: 3
    آخرین پست: جمعه 15 خرداد 1383, 17:01 عصر

قوانین ایجاد تاپیک در تالار

  • شما نمی توانید تاپیک جدید ایجاد کنید
  • شما نمی توانید به تاپیک ها پاسخ دهید
  • شما نمی توانید ضمیمه ارسال کنید
  • شما نمی توانید پاسخ هایتان را ویرایش کنید
  •