Un articolo pubblicato da Bugtraq rivela che Microsoft SQL Server memorizza due copie delle password degli account abilitati ad accedere ai database. Ovviamente si tratta, in realtà, di hash crittografici, ma, mentre il primo è ricavato dalla password effettivamente impostata, il secondo deriva dalla sua versione uppercase, cioè costituita dai medesimi caratteri convertiti in maiuscolo.

Di conseguenza, un attacco alle password, basato sulla forza bruta o su un dizionario, risulta non poco facilitato: infatti il numero di combinazioni possibili, prendendo in considerazione esclusivamente caratteri maiuscoli, risulta ridotto in misura esponenziale rispetto a quello che si otterrebbe dovendo utilizzare anche quelli minuscoli. Una volta scoperta la password in versione maiuscola, diventa davvero semplice giungere a quella originale.

A peggiorare le cose, si legge nel medesimo articolo, va considerato che se durante l'installazione di SQL Server si attiva la configurazione case insensitive, che non distingue maiuscole e minuscole, questa sarà applicata non solo ai nomi delle tabelle e dei campi, ma anche alle password: i due hash memorizzati per ciascuna di esse saranno pertanto basati entrambi sulla versione uppercase della parola chiave, rendendone di fatto ancora più semplice la decifratura.

La sola via di uscita è utilizzare password molto lunghe, composte da una sequenza il più possibile casuale di caratteri: banditi, come del resto sempre sarebbe buona norma, i nomi propri e combinazioni di parole esistenti o modificate, ad esempio scambiando le posizioni di alcune lettere o scrivendole "a rovescio".

Chi avesse configurato SQL Server con la case insensitive collation e desiderasse portarlo ad una configurazione case sensitive, dovrà esportare tutti i dati contenuti nei database, distruggere questi ultimi, ricostruire il master database, ricreare i database e caricarvi tutti i dati. Buon lavoro.