Oracle Password HASHアルゴリズムの評価

試験 · 掲載地 2015/01/24 13:44:38

今日、メール通知を受け取りました。 Oracleは最近発表されたセキュリティ論文『Oracle Password Hashing Algorithmの評価』に応答しました。この論文の著者は、SANSのジョシュア・ライトとカルロス・シドです。ロンドンのロイヤルホロウェイカレッジのSANSはセキュリティ分野で大きな影響力を持っています。オラクルも頭痛に悩まされていた。論文で言及されている主な安全上の課題は3つあります。

弱いパスワード「ソルト」もし一人のユーザー名がCrackで、パスワードがpassword、もう一人がCrac、パスワードがkpasswordの場合、データ辞書を調べればパスワードが実は同じであることがわかります! なぜなら、Oracleはハッシュ化前にユーザー名とパスワードの全文字列を処理するため(私たちの場合はユーザー名とパスワードが同じ文字列です)、パスワードの不安定さを生み出します。
パスワードは大文字を区別しないため、発見にはなりません。 Oracleのパスワードはこれまで大文字を区別しませんでした。しかし今回は、オラクルからの他の質問とともに提起されており、少し重みがあります。 Oracle 10g適用のEnterprise User Securityパスワードは大文字小文字を区別しています。
弱いハッシュアルゴリズムです。この情報の一部は、先に紹介したOracleのパスワード暗号化手法を参照できます。アルゴリズムの脆弱性のため、オフライン辞書に解読される可能性が大幅に高まります。

両著者は論文内で関連する予防方法についても言及しています。 Oracle Metalinkのおすすめを組み合わせてみてください。簡単な要約は以下の通りです。

ウェブアプリのユーザー権限を管理しましょう。
パスワードハッシュ情報へのアクセスを制限してください。「任意の辞書を選択する」権限は慎重に管理されるべきです
DBA_USERSビューで監査アクションを選択してください
TNSの伝送内容を暗号化
パスワードの長さを12桁以上に増やしてください。パスワードの有効期限ポリシーを適用してください。パスワードは英数字で混ぜて複雑さを増すなど、

[通信] Oracle Password HASHアルゴリズムの評価

関連記事

閲覧したセクション