Existe-t-il un moyen de définir des tentatives de connexion échouées consécutives sur un nombre spécifique de 3 ou 4 fois (pour les connexions SQL Server)? Si ce nombre est dépassé, l'attente est de verrouiller le compte.Connexion à SQL Server - tentatives de connexion échouées
Vous pouvez appliquer la stratégie pasword du serveur Windows sur lequel SQL Server est installé en utilisant l'option CHECK_POLICY de CREATE USER, voir http://msdn.microsoft.com/en-us/library/ms189751.aspx et http://msdn.microsoft.com/en-us/library/ms161959.aspx. Ce n'est pas clair à partir de la documentation, mais il semble que l'utilisateur sera automatiquement verrouillé si le nombre de mauvaises tentatives dépasse le paramètre de la stratégie de sécurité Windows.
Vous devez administrer la stratégie de sécurité dans le domaine ou la stratégie de sécurité locale MMC snapin (voir http://technet.microsoft.com/en-us/library/dd277400.aspx).
Il existe deux modes d'authentification utilisés dans SQL Server: le mode d'authentification Windows et mixte (permet à la fois l'authentification Windows et authentification SQL Server)
Le premier mode est une façon moins vulnérable aux attaques de force brute comme le l'attaquant est susceptible de se heurter à un verrouillage de connexion (la fonction de politique de verrouillage de compte) après un nombre fini de tentatives d'attaque ("un nombre spécifique de 3 ou 4 fois").
En ce qui concerne la vulnérabilité d'attaque par force brute d'authentification SQL Server, tout environnement de production, en utilisant le mode d'authentification Windows, doit utiliser la fonctionnalité de stratégie de verrouillage. brillant. En fait, l'authentification SQL Server ne comporte aucune fonctionnalité permettant de détecter lorsque le système est soumis à une attaque par force brute. De plus, SQL Server est très réactif lorsqu'il s'agit de valider les informations d'authentification SQL Server. Il peut facilement gérer des tentatives de connexion répétées, agressives et en force brute sans que les performances globales négatives indiquent de telles attaques. Cela signifie que l'authentification SQL Server est une cible parfaite pour la fissuration par mot de passe par force brute
au lieu de 'select', ne pouvons-nous pas utiliser' update' ici et définir la valeur? Je voudrais d'abord essayer de voir si cela fonctionne :) –