口令SQL Server口令弱口令：一个安全隐患（sqlserver口令弱）

SQL Server口令弱口令是指SQL Server数据库中存在着数据库连接凭证上的授权用户（比如：dba用户等）使用的口令是弱口令，导致可以轻松被破解。SQL Server数据库连接凭证上的授权用户口令弱口令的危及安全主要在于：无认证的传输及外部的的访问。

口令弱口令会造成违反安全最佳实践的不安全行为，破解了弱口令就能够以授权者的身份访问SQL Server数据库或者可能造成数据泄露，数据损坏甚至数据库不可用等严重后果。

为了规避SQL Server口令弱口令的安全隐患，提升用户账号的安全性，首先要使用强口令来代替弱口令里的最少8位的字母、数字、符号混合的口令；其次，要设置口令的失效时间，及时修改口令，尽量使用极强的口令；同时，也可以开启SQL Server数据库的安全认证机制，采用客户端和服务器之间的双重认证方式，更加安全防范SQL Server数据库口令弱口令的安全隐患。

要启动SQL Server数据库口令弱口令安全认证机制，首先要确保服务器RC4加密算法已经启用，并且服务器认证也完成了配置。然后在客户端，可以用如下的代码来连接服务器：

#include  
#include  
//连接服务器
SQLHANDLE sqlConnHandle; 
retcode = SQLConnect(sqlConnHandle, (SQLCHAR*) "MyServerName", SQL_NTS, 
   (SQLCHAR*) "dba", SQL_NTS, 
   (SQLCHAR*) "my_strong_password", SQL_NTS);

当客户端发起连接的时候，服务器就会下发一个会话口令给客户端，客户端要把这个会话口令再次返回给服务器以认证自己，如果这个会话口令正确，那么系统就可以建立正常的数据库连接。

另外，也可以使用Windows操作系统的ActiveDirectory服务，使用其域用户来管理SQL Server用户账号和口令，这样就可以利用Windows登录账号管理机制来管理SQL Server账号和口令，即可以大大提高SQL Server数据库的安全性。

为了最大限度的提高SQL Server数据库的安全性，应该加强口令管理，避免口令弱口令的出现，严格遵守安全最佳实践，定期更新口令，同时要做好安全防护，保护系统资源免受SQL Server口令弱口令攻击。