Este artículo es un artículo espejo de traducción automática, por favor haga clic aquí para saltar al artículo original.

Architect_Programmer_Code Red Agrícola»Arquitecto Base de datos y base de datos Oráculo Evaluación del algoritmo HASH de Oracle Password
Vista: 12586|Respuesta: 0

[Comunicación] Evaluación del algoritmo HASH de Oracle Password

[Copiar enlace]
Publicado en 24/1/2015 13:44:38 | | |

Hoy he recibido una notificación por correo electrónico. Oracle respondió a un reciente artículo de seguridad, Una evaluación del algoritmo de hash de contraseñas de Oracle. Los autores de este artículo que causaron problemas a Oracle son Joshua Wright de SANS y Carlos Cid. SANS de Royal Holloway College en Londres tiene mucha influencia en el campo de la seguridad. El oráculo también tuvo que tener dolor de cabeza. En el artículo se mencionan tres cuestiones principales de seguridad:

Contraseña débil "sal" Si el nombre de un usuario es Crack, la contraseña es contraseña, y el otro usuario es Crac, y la contraseña es kpassword, puedes comprobar consultando el diccionario de datos que la contraseña es realmente la misma. Porque Oracle procesa toda la cadena de nombres de usuario más contraseñas antes de hacer hash (en nuestro caso, el nombre de usuario y la contraseña son la misma cadena), lo que crea inestabilidad en las contraseñas.
Las contraseñas no son sensibles a mayúsculas y minúsculas, lo cual no es un descubrimiento. Las contraseñas de Oracle siempre han sido insensibles a mayúsculas y minúsculas. Sin embargo, esta vez se plantea junto con otras preguntas de Oracle, que tienen algo de peso en el mercado. Las contraseñas de Enterprise User Security con Oracle 10g aplicado son sensibles a mayúsculas y minúsculas.
Algoritmo de hash débil. Esta parte de la información puede referirse al método de cifrado de contraseñas de Oracle que introduje antes. Debido a la fragilidad del algoritmo, la posibilidad de ser descifrado por diccionarios offline aumenta considerablemente.

Los dos autores también mencionaron métodos de prevención relevantes en el artículo. Combina las recomendaciones de Oracle Metalink. Un resumen sencillo es el siguiente:

Controla los permisos de usuario para aplicaciones web.
Restringir el acceso a la información de hashes de contraseñas. El permiso SELECCIONE CUALQUIER DICCIONARIO debe controlarse cuidadosamente
Seleccionar acción para auditar en DBA_USERS vista
Cifrar contenido de transmisión TNS
Aumenta la longitud de la contraseña (al menos 12 dígitos). Aplica la política de caducidad de contraseña. Las contraseñas deben ser alfanuméricas y mezcladas para aumentar la complejidad, etc.




Anterior:Oráculo
Próximo:Comando de conexión de configuración de base de datos Oracle Remote Connect

Publicaciones relacionadas
Renuncia:
Todo el software, materiales de programación o artículos publicados por Code Farmer Network son únicamente para fines de aprendizaje e investigación; El contenido anterior no se utilizará con fines comerciales o ilegales; de lo contrario, los usuarios asumirán todas las consecuencias. La información de este sitio proviene de Internet, y las disputas de derechos de autor no tienen nada que ver con este sitio. Debes eliminar completamente el contenido anterior de tu ordenador en un plazo de 24 horas desde la descarga. Si te gusta el programa, por favor apoya el software genuino, compra el registro y obtén mejores servicios genuinos. Si hay alguna infracción, por favor contáctanos por correo electrónico.
Mail To:help@itsvse.com