Heute eine E-Mail-Benachrichtigung erhalten. Oracle reagierte auf ein kürzlich veröffentlichtes Sicherheitspapier, "An Assessment of the Oracle Password Hashing Algorithm". Die Autoren dieses Papiers, das Oracle Probleme bereitete, sind Joshua Wright von SANS und Carlos Cid. SANS vom Royal Holloway College in London hat großen Einfluss im Bereich der Sicherheit. Oracle musste auch Kopfschmerzen haben. Im Artikel werden drei Hauptsicherheitsfragen erwähnt:
Schwaches Passwort-"Salz". Wenn der Name eines Nutzers Crack ist, das Passwort Passwort, der andere Nutzer Crac, und das Passwort kpassword, kannst du durch die Überprüfung des Datenwörterbuchs feststellen, dass das Passwort tatsächlich dasselbe ist! Weil Oracle die gesamte Benutzernamensfolge plus Passwörter vor dem Hashing verarbeitet (in unserem Fall sind Benutzername und Passwort derselbe String), was zu Instabilität bei den Passwörtern führt.
Passwörter sind nicht kleinschreibungsabhängig, was keine Entdeckung darstellt. Oracle-Passwörter waren schon immer nicht groß- und kleinschreibungssensitiv. Diesmal wird es jedoch zusammen mit anderen Fragen des Oracles aufgeworfen, was ein wenig Gewicht hat. Enterprise User Security Passwörter mit Oracle 10g sind far- und kleinschreibungssensitiv.
Schwacher Hashalgorithmus. Dieser Teil der Information kann sich auf die Oracle-Passwortverschlüsselungsmethode beziehen, die ich zuvor eingeführt habe. Aufgrund der Fragilität des Algorithmus ist die Gefahr, von Offline-Wörterbüchern geknackt zu werden, erheblich erhöht.
Die beiden Autoren erwähnten auch relevante Präventionsmethoden in der Arbeit. Kombinieren Sie die Empfehlungen auf Oracle Metalink. Eine einfache Zusammenfassung lautet wie folgt:
Kontrolliere Benutzerberechtigungen für Webanwendungen.
Den Zugriff auf Passwort-Hash-Informationen einschränken. Die Berechtigung "BELIEBIGES WÖRTERBUCH AUSWÄHLEN" sollte sorgfältig kontrolliert werden
Wählen Sie eine Aktion für die Prüfung auf DBA_USERS Ansicht
TNS-Übertragungsinhalt verschlüsseln
Verlängere die Passwortlänge (mindestens 12 Ziffern). Wende die Passwort-Ablaufrichtlinie an. Passwörter sollten alphanumerisch und gemischt sein, um die Komplexität zu erhöhen usw. |
Veröffentlicht am 24.01.2015 13:44:38
|
|
|
