Modtog en e-mailnotifikation i dag. Oracle svarede på et nyligt sikkerhedspapir, An Assessment of the Oracle Password Hashing Algorithm. Forfatterne til denne artikel, der skabte problemer for Oracle, er Joshua Wright fra SANS og Carlos Cid. SANS fra Royal Holloway College i London har stor indflydelse inden for sikkerhedsområdet. Oracle måtte også have hovedpine. Der er tre hovedsikkerhedsspørgsmål nævnt i artiklen:
Svag adgangskode "salt" Hvis den ene brugers navn er Crack, adgangskoden er password, og den anden bruger er Crac, og adgangskoden er kpassword, kan du ved at tjekke datadictionaryen finde ud af, at adgangskoden faktisk er den samme! Fordi Oracle behandler hele strengen af brugernavne plus adgangskoder før hashing (i vores tilfælde er brugernavn og adgangskode samme streng), hvilket skaber ustabilitet i adgangskoderne.
Adgangskoder er ikke små bogstaver, hvilket ikke er en opdagelse. Oracle-adgangskoder har altid været små bogstaver. Denne gang bliver det dog rejst sammen med andre spørgsmål fra Oracle, som har lidt vægt. Enterprise User Security-adgangskoder med Oracle 10g anvendt er små og små bogstaver.
Svag hash-algoritme. Denne del af informationen kan referere til den Oracle-adgangskodekrypteringsmetode, jeg tidligere introducerede. På grund af algoritmens skrøbelighed øges risikoen for at blive knækket af offline-ordbøger betydeligt.
De to forfattere nævnte også relevante forebyggelsesmetoder i artiklen. Kombiner anbefalingerne på Oracle Metalink. En simpel opsummering er som følger:
Kontroller brugerrettigheder for webapps.
Begræns adgangen til hash-oplysninger om adgangskoder. VÆLG EN HVILKEN SOM HELST ORDBOG-tilladelsen bør kontrolleres nøje
Vælg handling til revision på DBA_USERS visning
Krypter TNS-transmissionsindhold
Forskær adgangskodelængden (mindst 12 cifre). Anvend adgangskodeudløbspolitik. Adgangskoder bør være alfanumeriske og blandede for at øge kompleksiteten osv. |
Opslået på 24/01/2015 13.44.38
|
|
|
