Questo articolo è un articolo speculare di traduzione automatica, clicca qui per saltare all'articolo originale.

Architect_Programmer_Code Rete Agricola»Architetto Database & Database Oracolo Valutazione dell'algoritmo HASH di Oracle Password
Vista: 12586|Risposta: 0

[Comunicazione] Valutazione dell'algoritmo HASH di Oracle Password

[Copiato link]
Pubblicato su 24/01/2015 13:44:38 | | |

Oggi ho ricevuto una notifica via email. Oracle ha risposto a un recente articolo sulla sicurezza, Una valutazione dell'algoritmo di hashing delle password di Oracle. Gli autori di questo articolo che ha creato problemi a Oracle sono Joshua Wright di SANS e Carlos Cid. SANS del Royal Holloway College di Londra ha molta influenza nel campo della sicurezza. Anche Oracle doveva avere mal di testa. Nell'articolo sono menzionati tre principali problemi di sicurezza:

Password debole "sale" Se il nome di un utente è Crack, la password è password, l'altro utente è Crac, e la password è kpassword, puoi scoprire controllando il dizionario dati che la password è effettivamente la stessa! Perché Oracle processa l'intera stringa di nomi utente più password prima dell'hashing (nel nostro caso, nome utente e password sono la stessa stringa), il che crea instabilità nelle password.
Le password non sono distinte dalla maiuscoloscola, il che non è una scoperta. Le password Oracle sono sempre state indistinte per le maiuscole e minuscole. Tuttavia, questa volta viene sollevata insieme ad altre domande di Oracle, che hanno un po' di profondità. Le password di sicurezza per utenti aziendali con Oracle 10g applicato sono distinte a maiuscole.
Algoritmo di hash debole. Questa parte delle informazioni può riferirsi al metodo di crittografia delle password Oracle che ho introdotto prima. A causa della fragilità dell'algoritmo, la possibilità di essere violati dai dizionari offline è notevolmente aumentata.

I due autori hanno anche menzionato nell'articolo metodi di prevenzione rilevanti. Unisci le raccomandazioni su Oracle Metalink. Un riassunto semplice è il seguente:

Controlla i permessi degli utenti per le app web.
Limita l'accesso alle informazioni sugli hash delle password. Il permesso SELEZIONA QUALSIASI DIZIONARIO dovrebbe essere controllato con attenzione
Seleziona l'azione per l'audit sulla DBA_USERS vista
Crittografare contenuti di trasmissione TNS
Aumenta la lunghezza della password (almeno 12 cifre). Applica la politica di scadenza delle password. Le password dovrebbero essere alfanumeriche e miste per aumentare la complessità, ecc.




Precedente:Oracolo
Prossimo:Comando di connessione Oracle Remote Connect DB Configuration

Post correlati
Disconoscimento:
Tutto il software, i materiali di programmazione o gli articoli pubblicati dalla Code Farmer Network sono destinati esclusivamente all'apprendimento e alla ricerca; I contenuti sopra elencati non devono essere utilizzati per scopi commerciali o illegali, altrimenti gli utenti dovranno sostenere tutte le conseguenze. Le informazioni su questo sito provengono da Internet, e le controversie sul copyright non hanno nulla a che fare con questo sito. Devi eliminare completamente i contenuti sopra elencati dal tuo computer entro 24 ore dal download. Se ti piace il programma, ti preghiamo di supportare software autentico, acquistare la registrazione e ottenere servizi autentici migliori. In caso di violazione, vi preghiamo di contattarci via email.
Mail To:help@itsvse.com