Eu fui perguntado isso hoje e eu sinceramente não sabia a resposta. Se você se conectar usando uma string de conexão sem sspi a um servidor existe alguma maneira de um terceiro poder interceptar na conexão a senha usada para efetuar login?
"Data Source=MyServer;Initial Catalog=MyDatabase;User Id=sa;Password=CanThisBeSniffed;"
Eu não estou perguntando sobre ataques MiTM apenas alguém listando no mesmo computador ou no mesmo hub na rede com wireshark ou algo semelhante em execução.
Ativei o wireshark sozinho e não o vi em texto simples, mas poderia ser um simples ofuscamento ou criptografia adequada, eu só queria saber qual.
SQL Server 2000 e superior (pode ser 2005 e superior, esqueci; está em meu novo livro em algum lugar) o processo de autenticação usado por um Logon de Autenticação SQL (em oposição à Autenticação do Windows) é criptografado por um certificado SSL auto-assinado é gerado pela instância do SQL Server na instalação do mecanismo de banco de dados.
Nick levanta um bom ponto, sendo que esse post não era exatamente o que você procurava. Desculpe por isso.
A biblioteca MSDN possui especificações sobre como configurar conexões SSL link
No entanto, o seguinte é um pouco ambíguo
Credentials (in the login packet) that are transmitted when a client application
connects to SQL Server are always encrypted.
Não é totalmente claro (para mim de qualquer maneira) se isso significa que eles são sempre criptografados, independentemente das configurações de SSL, ou não.
Se você está preocupado, eu estaria habilitando o SSL.
Eu tenho feito algumas pesquisas sobre isso também, e há um possível ataque MITM para forçar um downgrade - veja aqui
Algumas versões mais antigas do SQL não suportam a criptografia SSL do login e enviam a senha em branco, para que o suporte a cliente e servidor recaia para a autenticação não criptografada se a autenticação criptografada falhar. Mas você não pode definir propositadamente versões modernas do SQL Server para ENCRYPT_NOT_SUP (observe que o ataque é para MITM a sessão PRELOGIN e altera um sinalizador para ENCRYPT_NOT_SUP em vez de ENCRYPT_OFF - que é o modo padrão para SQL).