Sain tänään sähköposti-ilmoituksen. Oracle vastasi äskettäin julkaistuun tietoturvapaperiin, An Assessment of the Oracle Password Hashing Algorithm. Tämän Oraclelle hankaluuksia aiheuttaneen artikkelin kirjoittajat ovat Joshua Wright SANS:sta ja Carlos Cid. SANS:lla Royal Holloway Collegesta Lontoossa on suuri vaikutusvalta turvallisuusalalla. Oraclella oli myös päänsärkyä. Artikkelissa mainitaan kolme pääasiallista turvallisuuskysymystä:
Heikko salasana "suola". Jos toisen käyttäjän nimi on Crack, salasana on password, toisen on Crac ja salasana on kpassword, voit tarkistaa sanakirjasta, että salasana on oikeasti sama! Koska Oracle käsittelee koko käyttäjätunnusjonon ja salasanat ennen hajautustaan (meidän tapauksessamme käyttäjätunnus ja salasana ovat sama merkkijono), mikä aiheuttaa epävakautta salasanoissa.
Salasanat eivät ole kirjainkoon herkkiä, mikä ei ole löytö. Oracle-salasanat ovat aina olleet kirjainkoon vasta riippumattomia. Tällä kertaa se kuitenkin nousee esiin yhdessä muiden Oraclen kysymysten kanssa, joilla on hieman painoarvoa. Enterprise User Security -salasanat, joissa Oracle 10g on käytössä, ovat kirjainkoon herkkiä.
Heikko hajautusalgoritmi. Tämä osa tiedoista voi viitata aiemmin esittelemääni Oracle-salasanan salausmenetelmään. Algoritmin haurauden vuoksi mahdollisuus tulla murtuvaksi offline-sanakirjojen toimesta kasvaa huomattavasti.
Molemmat kirjoittajat mainitsivat myös asiaankuuluvat ehkäisymenetelmät artikkelissa. Yhdistä suositukset Oracle Metalinkissä. Yksinkertainen yhteenveto on seuraava:
Hallinnoi käyttäjäoikeuksia verkkosovelluksissa.
Rajoita pääsyä salasanan tiivistetietoihin. VALITSE MIKÄ TAHANSA SANAKIRJA -lupa tulisi hallita huolellisesti
Valitse toiminto auditointia varten DBA_USERS näkymässä
Salaa TNS-lähetyssisältö
Pidennä salasanan pituutta (vähintään 12 numeroa). Sovella salasanan vanhenemispolitiikkaa. Salasanojen tulisi olla aakkosnumeerisia ja sekoitettuja, jotta monimutkaisuus lisääntyisi jne. |
Julkaistu 24.1.2015 13.44.38
|
|
|
