Secondo gli sviluppatori di Microsoft, la possibilità degli amministratori, di riuscire a leggere in chiaro le password degli utenti non rappresenta affatto una minaccia.
Se risulta abilitata, nelle ultime tre versioni di Microsoft Sql Server, l’autenticazione mixed mode, gli amministratori possono vedere le password degli utenti prive di qualsiasi criptaggio. Solitamente un amministratore ha la facoltà di cambiare le password agli utenti, ma non ha il permesso di vederle, se non criptate.
Una società californiana, la Sentrigo, che si occupa di sicurezza dei database, ha etichettato questa situazione come una grave vulnerabilità. Microsoft ha però prontamente risposto che non si tratta minimamente di una falla, e che peraltro non è necessario il rilascio di alcuna patch.
Un amministratore ha pieni poteri sul sistema, pertanto conoscere o meno le password dei suoi utenti non porta ad esso alcun giovamento. Questa la spiegazione di Microsoft, che però non tiene conto della privacy degli utenti, che spesso utilizzano una sola password per l’accesso a qualsiasi sistema, e nemmeno della possibilità, tramite apposito sniffer, di catturare tutte le chiavi di accesso espresse in chiaro e prive quindi di protezione.
Appresa l’intenzione degli sviluppatori di Redmond, Sentrigo ha deciso di risolvere il problema rilasciando, gratuitamente, Passwordizer, ovvero un’applicazione in grado di cancellare le password dalla memoria. La preziosa utility è scaricabile direttamente dal sito internet del produttore.
