He estado trabajando en un programa que utiliza MS Access y ODBC para conectarse a un servidor SQL. Uno de los requisitos es que el usuario no necesita saber la contraseña para la conexión al servidor SQL, por lo que marqué la casilla de verificación "Guardar contraseña" cuando vinculo mis tablas SQL.
¿Alguien sabe dónde se almacena la contraseña y qué tan segura es cuando se realiza esta acción?
Me gustaría señalar que la respuesta a la segunda parte de la pregunta tiene poco que ver con la primera parte.
Incluso si la contraseña se almacenó de forma cifrada y muy sólida (no lo es), esto no sería seguro, en varios aspectos.
Estaría mucho mejor rediseñando la aplicación, con un nivel intermedio y todo ...
Siempre me resulta extraño discutir security y MS Access en la misma conversación ...
Si absolutamente no cambia la arquitectura, considere usar la autenticación integrada de Windows y vincular las cuentas de usuario (o grupo) a un rol de db para la administración. De esa forma, al menos cada usuario tendrá su propia cuenta en el servidor, puede restringir el acceso (según el principio de privilegio mínimo), no tener cuentas compartidas y puede realizar un seguimiento de las acciones de cada usuario en la base de datos.
Los detalles de la contraseña ODBC se pueden abordar activando odbcad32.exe en su caja de Windows e interactuando con el cuadro de diálogo. Creo que los detalles que busca se encuentran en los últimos párrafos de ACC2000: no aparece un mensaje de solicitud de contraseña cuando se usa Microsoft Access.
Este fue el primer resultado en Google al mirar dónde se guardan las contraseñas ODBC en general.
Resulta que se almacenan en texto plano en el registro de Windows. Abre regedit y echa un vistazo a:
HKEY_LOCAL_MACHINE\SOFTWARE\ODBC\ODBC.INI