Oracle 비밀번호 해시 알고리즘 평가

테스트 · 게시됨 2015. 1. 24. 오후 1:44:38

오늘 이메일 알림을 받았습니다. 오라클은 최근 발표된 보안 논문인 '오라클 비밀번호 해싱 알고리즘 평가'에 대해 답변했습니다. 오라클에 문제를 일으킨 이 논문의 저자는 SANS의 조슈아 라이트와 카를로스 시드입니다. 런던 로열 할로웨이 칼리지의 SANS는 보안 분야에서 큰 영향력을 가지고 있습니다. 오라클도 머리가 아팠다. 논문에는 세 가지 주요 안전 문제가 언급되어 있습니다:

약한 비밀번호 "salt" 한 사용자의 이름이 Crack이고, 비밀번호가 password이며, 다른 사용자가 Crac이고 비밀번호가 kpassword라면, 데이터 사전을 확인하면 비밀번호가 사실 동일하다는 것을 알 수 있습니다! Oracle은 해시하기 전에 사용자 이름과 비밀번호 전체 문자열을 처리하기 때문입니다(저희 경우에는 사용자 이름과 비밀번호가 동일한 문자열입니다). 이로 인해 비밀번호에 불안정이 생깁니다.
비밀번호는 대소문자 구분이 아니기 때문에 증거 개시가 아닙니다. 오라클 비밀번호는 항상 대문자 구분이 불가능했습니다. 하지만 이번에는 오라클의 다른 질문들과 함께 제기되는데, 약간의 무게감이 있습니다. Oracle 10g가 적용된 Enterprise User Security 비밀번호는 대소문자 구분입니다.
약한 해시 알고리즘입니다. 이 정보 부분은 앞서 소개한 Oracle 비밀번호 암호화 방식을 참조할 수 있습니다. 알고리즘의 취약성 때문에 오프라인 사전에 의해 해킹될 가능성이 크게 증가합니다.

두 저자는 논문에서 관련 예방 방법도 언급했습니다. Oracle Metalink의 추천을 결합해 보세요. 간단한 요약은 다음과 같습니다:

웹 앱의 사용자 권한을 제어하세요.
비밀번호 해시 정보 접근을 제한하세요. SELECT ANY DICTIONARY 권한은 신중하게 관리되어야 합니다
DBA_USERS 뷰에서 감사 행동을 선택하세요
TNS 전송 내용을 암호화하세요
비밀번호 길이를 최소 12자리로 늘리세요. 비밀번호 만료 정책을 적용하세요. 비밀번호는 복잡성을 높이기 위해 영숫자 조합이어야 합니다.

[통신] Oracle 비밀번호 해시 알고리즘 평가

관련 게시물

본 섹션