Šis straipsnis yra veidrodinis mašininio vertimo straipsnis, spauskite čia norėdami pereiti prie originalaus straipsnio.

Architect_Programmer_Code žemės ūkio tinklas»Architektas Duomenų bazė ir duomenų bazė Oracle "Oracle Password HASH" algoritmo vertinimas
Rodinys: 12586|Atsakyti: 0

[Komunikatas] "Oracle Password HASH" algoritmo vertinimas

[Kopijuoti nuorodą]
Paskelbta 2015-01-24 13:44:38 | | |

Šiandien gavau pranešimą el. paštu. "Oracle" atsakė į neseniai paskelbtą saugumo dokumentą "Oracle slaptažodžių maišos algoritmo vertinimas". Šio straipsnio, kuris sukėlė problemų "Oracle", autoriai yra Joshua Wright iš SANS ir Carlos Cid. SANS iš Karališkojo Holloway koledžo Londone turi didelę įtaką saugumo srityje. "Oracle" taip pat turėjo skaudėti galvą. Straipsnyje minimi trys pagrindiniai saugos klausimai:

Silpnas slaptažodis "druska" Jei vieno vartotojo vardas yra Crack, slaptažodis yra slaptažodis, o kitas vartotojas yra Crac, o slaptažodis yra kpassword, patikrinę duomenų žodyną galite sužinoti, kad slaptažodis iš tikrųjų yra tas pats! Kadangi "Oracle" prieš maišą apdoroja visą vartotojų vardų ir slaptažodžių eilutę (mūsų atveju vartotojo vardas ir slaptažodis yra ta pati eilutė), o tai sukuria slaptažodžių nestabilumą.
Slaptažodžiuose neskiriamos didžiosios ir mažosios raidės, o tai nėra atradimas. "Oracle" slaptažodžiuose visada neskiriamos didžiosios ir mažosios raidės. Tačiau šį kartą jis keliamas kartu su kitais "Oracle" klausimais, kurie turi šiek tiek svorio. "Enterprise User Security" slaptažodžiai su pritaikyta "Oracle 10g" skiria didžiąsias ir mažąsias raides.
Silpnas maišos algoritmas. Ši informacijos dalis gali būti susijusi su anksčiau pristatytu "Oracle" slaptažodžio šifravimo metodu. Dėl algoritmo trapumo labai padidėja galimybė nulaužti neprisijungus pasiekiamus žodynus.

Abu autoriai straipsnyje taip pat paminėjo atitinkamus prevencijos metodus. Sujunkite "Oracle Metalink" rekomendacijas. Paprasta santrauka yra tokia:

Valdykite žiniatinklio programų naudotojų teises.
Apriboti prieigą prie slaptažodžių maišos informacijos. SELECT ANY DICTIONARY leidimas turi būti atidžiai kontroliuojamas
Pasirinkti DBA_USERS rodinio tikrinimo veiksmą
Šifruoti TNS perdavimo turinį
Padidinkite slaptažodžio ilgį (bent 12 skaitmenų). Taikykite slaptažodžio galiojimo pabaigos strategiją. Slaptažodžiai turėtų būti raidiniai ir skaitmeniniai ir mišrūs, kad padidėtų sudėtingumas ir pan.




Ankstesnis:Orakulas
Kitą:"Oracle Remote Connect DB" konfigūracijos ryšio komanda

Susijusios žinutės
Atsakomybės apribojimas:
Visa programinė įranga, programavimo medžiaga ar straipsniai, kuriuos skelbia Code Farmer Network, yra skirti tik mokymosi ir mokslinių tyrimų tikslams; Aukščiau nurodytas turinys negali būti naudojamas komerciniais ar neteisėtais tikslais, priešingu atveju vartotojai prisiima visas pasekmes. Šioje svetainėje pateikiama informacija gaunama iš interneto, o ginčai dėl autorių teisių neturi nieko bendra su šia svetaine. Turite visiškai ištrinti aukščiau pateiktą turinį iš savo kompiuterio per 24 valandas nuo atsisiuntimo. Jei jums patinka programa, palaikykite autentišką programinę įrangą, įsigykite registraciją ir gaukite geresnes autentiškas paslaugas. Jei yra kokių nors pažeidimų, susisiekite su mumis el. paštu.
Mail To:help@itsvse.com