Der SQL Server von Microsoft legt die Passwörter, die zur Anmeldung verwendet werden, im Klartext im Hauptspeicher ab. Ein Administrator kann sie dann wieder auslesen. Microsoft behauptet, dass dies kein Sicherheitsproblem darstellt.

Das Unternehmen Sentrigo, das Sicherheitslösungen für Datenbanken anbietet, ist da anderer Meinung. Da man die gleichen Passwörter oftmals für mehrere Systeme verwendet, würde man einem Angreifer das Leben zu einfach machen, argumentieren die Sicherheitsexperten. So kann man beim SQL Server 2000 und 2005 den Hauptspeicher aus der Ferne auslesen. Beim SQL Server 2008 ist das nicht mehr möglich, da das Tool "DBCC Utility" fehlt.

Microsoft gibt zu, dass es möglich ist, dass zur Anmeldung verwendete Passwort auszulesen. Allerdings müsste ein Angreifer bereits administrativen Zugriff auf das System haben, um das Kennwort in Erfahrung zu bringen. Der Redmonder Konzern ist der Meinung, dass man gegen Administratoren mit böswilligen Absichten so gut wie keine Chance hat.

In einem Blog-Eintrag erklärt Microsoft, dass die SQL-Authentifizierung standardmäßig abgeschaltet ist. Stattdessen wird die Windows-Authentifizierung verwendet, die dieses Problem nicht aufweist. Unterdessen hat Sentrigo ein Tool namens Passwordizer zur Verfügung gestellt, dass die im Hauptspeicher abgelegten Passwörter löscht.