Ez a cikk egy tükör gépi fordítás, kérjük, kattintson ide, hogy ugorjon az eredeti cikkre.

Architect_Programmer_Code Mezőgazdasági Hálózat»Építész Adatbázis és adatbázis Jóslat Oracle jelszó HASH algoritmusértékelés
Nézet: 12586|Válasz: 0

[Kommunikáció] Oracle jelszó HASH algoritmusértékelés

[Linket másol]
Közzétéve 2015. 01. 24. 13:44:38 | | |

Ma kaptam egy e-mailes értesítést. Az Oracle válaszolt egy nemrégiben megjelent biztonsági cikkre, az Oracle jelszó hashing algoritmusának értékelésére. Ennek az Oracle számára gondot okozó tanulmánynak a szerzői Joshua Wright a SANS-tól és Carlos Cid. A londoni Royal Holloway College SANS-a nagy befolyással bír a biztonság területén. Az Oracle-nak is fejfájása kellett. A tanulmányban három fő biztonsági kérdést említenek:

Gyenge jelszó "salt". Ha az egyik felhasználó neve Crack, a jelszó password, a másik a Crac, és a jelszó kpassword, akkor a szótár megnézésével megtapasztalhatod, hogy a jelszó valójában ugyanaz! Mert az Oracle az egész felhasználónévsorozatot és jelszavakat dolgozza fel hash előtt (nálunk a felhasználónév és jelszó ugyanaz a láncsor), ami instabilitást okoz a jelszavakban.
A jelszavak nem kis- és nagybetűk érzékenyek, ami nem felfedezés. Az Oracle jelszavak mindig is kis- és nagybetűk érzékenyek voltak. Ezúttal azonban felveti az Oracle más kérdéseivel együtt, amelynek némi súlya van. Az Oracle 10g alkalmazásával alkalmazott vállalati felhasználói biztonsági jelszavak kis- és nagykora érzékenyek.
Gyenge hash algoritmus. Ez az információ része utalhat az Oracle jelszó-titkosítási módszerre, amit korábban bemutattam. Az algoritmus törékenysége miatt jelentősen megnő annak lehetősége, hogy offline szótárak törjék fel őket.

A két szerző a tanulmányban megemlítette a releváns megelőzési módszereket is. Kombináld az Oracle Metalink ajánlásait. Egy egyszerű összefoglaló a következő:

Szabályozza a webalkalmazások felhasználói jogosultságait.
Korlátozza a jelszó hash-adataihoz való hozzáférést. A SELECT ANY DICTIONARY engedélyt gondosan kell ellenőrizni
Válaszd ki az auditáláshoz szükséges műveletet DBA_USERS nézeten
Titkosítsa a TNS átviteli tartalmat
Növeld a jelszó hosszát (legalább 12 számjegy). Alkalmazd a jelszó lejárati szabályzatát. A jelszavaknak alfanumerikusnak és kevertnek kell lenniük, hogy növeljék a bonyolultságot, stb.




Előző:Orákulum
Következő:Oracle Remote Connect DB konfigurációs kapcsolat parancs

Kapcsolódó bejegyzések
Lemondás:
A Code Farmer Network által közzétett összes szoftver, programozási anyag vagy cikk kizárólag tanulási és kutatási célokra szolgál; A fenti tartalmat nem szabad kereskedelmi vagy illegális célokra használni, különben a felhasználók viselik az összes következményet. Az oldalon található információk az internetről származnak, és a szerzői jogi vitáknak semmi köze ehhez az oldalhoz. A fenti tartalmat a letöltés után 24 órán belül teljesen törölni kell a számítógépéről. Ha tetszik a program, kérjük, támogassa a valódi szoftvert, vásároljon regisztrációt, és szerezzen jobb hiteles szolgáltatásokat. Ha bármilyen jogsértés történik, kérjük, vegye fel velünk a kapcsolatot e-mailben.
Mail To:help@itsvse.com