Dnes jsem obdržel e-mailové upozornění. Oracle reagoval na nedávný bezpečnostní článek s názvem Hodnocení algoritmu pro hashování hesel Oracle. Autoři tohoto článku, který způsobil Oracle potíže, jsou Joshua Wright ze SANS a Carlos Cid. SANS z Royal Holloway College v Londýně má velký vliv v oblasti bezpečnosti. Oracle musela mít také bolest hlavy. V článku jsou zmíněny tři hlavní bezpečnostní otázky:
Slabé heslo "salt" Pokud se jeden uživatel jmenuje Crack, heslo je heslo a druhý uživatel je Crac a heslo je kpassword, můžete zjistit podle datového slovníku, že heslo je ve skutečnosti stejné! Protože Oracle zpracovává celý řetězec uživatelských jmen plus hesla před hashováním (v našem případě jsou uživatelské jméno a heslo stejný řetězec), což vytváří nestabilitu v heslech.
Hesla nejsou citlivá na velká písmena, což není objev. Hesla Oracle vždy nebyla rozlišována pro velikost písmen. Tentokrát je však vzneseno spolu s dalšími otázkami od Oracle, což má určitou váhu. Hesla pro bezpečnost podnikových uživatelů s aplikací Oracle 10g jsou rozlišována podle velikosti písmen.
Slabý hashovací algoritmus. Tato část informací může odkazovat na metodu šifrování heslem Oracle, kterou jsem dříve představil. Kvůli křehkosti algoritmu se výrazně zvyšuje možnost, že je prolomeny offline slovníky.
Oba autoři také zmínili relevantní metody prevence v článku. Zkombinujte doporučení z Oracle Metalink. Jednoduché shrnutí je následující:
Ovládejte uživatelská oprávnění pro webové aplikace.
Omezte přístup k informacím o hashování hesel. Oprávnění SELECT ANY DICTIONARY by mělo být pečlivě kontrolováno
Vyberte akci pro audit v DBA_USERS zobrazení
Šifrování přenosového obsahu TNS
Prodloužte délku hesla (alespoň o 12 číslic). Použijte pravidla vypršení platnosti hesel. Hesla by měla být alfanumerická a smíšená, aby se zvýšila složitost atd. |
Zveřejněno 24.01.2015 13:44:38
|
|
|
