Cet article est un article miroir de traduction automatique, veuillez cliquer ici pour accéder à l’article original.

Architect_Programmer_Code Réseau agricole»Architecte Base de données & Base de données Oracle Évaluation de l’algorithme HASH Oracle Password
Vue: 12586|Répondre: 0

[Communication] Évaluation de l’algorithme HASH Oracle Password

[Copié le lien]
Publié sur 24/01/2015 13:44:38 | | |

J’ai reçu une notification par e-mail aujourd’hui. Oracle a répondu à un récent article sur la sécurité, An Assessment of the Oracle Password Hashing Algorithm. Les auteurs de cet article qui a posé problème à Oracle sont Joshua Wright de SANS et Carlos Cid. SANS du Royal Holloway College à Londres a une grande influence dans le domaine de la sécurité. Oracle devait aussi avoir mal à la tête. Trois principaux problèmes de sécurité sont mentionnés dans l’article :

Mot de passe faible « sel » Si le nom d’un utilisateur est Crack, le mot de passe est mot de passe, l’autre utilisateur est Crac, et le mot de passe est kpassword, vous pouvez vérifier en consultant le dictionnaire de données que le mot de passe est en fait le même ! Parce qu’Oracle traite toute la chaîne de noms d’utilisateur plus les mots de passe avant le hachage (dans notre cas, le nom d’utilisateur et le mot de passe sont la même chaîne), ce qui crée une instabilité des mots de passe.
Les mots de passe ne sont pas sensibles à la casse, ce qui n’est pas une découverte. Les mots de passe Oracle ont toujours été insensibles à la casse. Cependant, cette fois, elle est soulevée avec d’autres questions d’Oracle, qui ont un peu de poids. Les mots de passe de sécurité utilisateur d’entreprise avec Oracle 10g appliqué sont sensibles à la majuscule.
Algorithme de hachage faible. Cette partie de l’information peut faire référence à la méthode de chiffrement du mot de passe Oracle que j’ai introduite précédemment. En raison de la fragilité de l’algorithme, la possibilité d’être déchiffré par des dictionnaires hors ligne est grandement accrue.

Les deux auteurs ont également mentionné des méthodes de prévention pertinentes dans l’article. Combinez les recommandations sur Oracle Metalink. Un résumé simple est le suivant :

Contrôlez les autorisations utilisateur pour les applications web.
Restreignez l’accès aux informations de hachage de mot de passe. La permission SÉLECTIONNER N’IMPORTE QUEL DICTIONNAIRE doit être soigneusement contrôlée
Sélectionnez l’action pour auditer sur DBA_USERS vue
Chiffrer le contenu de transmission TNS
Augmentez la longueur du mot de passe (au moins 12 chiffres). Appliquez la politique d’expiration du mot de passe. Les mots de passe doivent être alphanumériques et mélangés pour augmenter la complexité, etc.




Précédent:Oracle
Prochain:Oracle Remote Connect Commande de connexion de configuration de base de données

Articles connexes
Démenti:
Tous les logiciels, supports de programmation ou articles publiés par Code Farmer Network sont uniquement destinés à l’apprentissage et à la recherche ; Le contenu ci-dessus ne doit pas être utilisé à des fins commerciales ou illégales, sinon les utilisateurs assumeront toutes les conséquences. Les informations sur ce site proviennent d’Internet, et les litiges de droits d’auteur n’ont rien à voir avec ce site. Vous devez supprimer complètement le contenu ci-dessus de votre ordinateur dans les 24 heures suivant le téléchargement. Si vous aimez le programme, merci de soutenir un logiciel authentique, d’acheter l’immatriculation et d’obtenir de meilleurs services authentiques. En cas d’infraction, veuillez nous contacter par e-mail.
Mail To:help@itsvse.com