Šodien saņēmu e-pasta paziņojumu. Oracle atbildēja uz neseno drošības dokumentu Oracle paroles jaukšanas algoritma novērtējums. Šī raksta autori, kas radīja problēmas Oracle, ir Džošua Raits no SANS un Carlos Cid. SANS no Karaliskās Holloway koledžas Londonā ir liela ietekme drošības jomā. Oracle bija arī galvassāpes. Dokumentā ir minēti trīs galvenie drošības jautājumi:
Vāja parole "sāls" Ja viena lietotāja vārds ir Crack, parole ir parole, bet otrs lietotājs ir Crac, un parole ir kpassword, pārbaudot datu vārdnīcu, varat uzzināt, ka parole faktiski ir tāda pati! Tā kā Oracle pirms jaukšanas apstrādā visu lietotājvārdu virkni un paroles (mūsu gadījumā lietotājvārds un parole ir viena un tā pati virkne), kas rada paroļu nestabilitāti.
Paroles nav reģistrjutīgas, kas nav atklājums. Oracle paroles vienmēr ir bijušas reģistrjutīgas. Tomēr šoreiz tas tiek izvirzīts kopā ar citiem Oracle jautājumiem, kuriem ir neliels svars. Uzņēmuma lietotāju drošības paroles, kurās ir lietots Oracle 10g, ir reģistrjutīgas.
Vājš jaucējalgoritms. Šī informācijas daļa var attiekties uz Oracle paroles šifrēšanas metodi, ko es ieviesu iepriekš. Algoritma trausluma dēļ ir ievērojami palielinājusies iespēja uzlauzt bezsaistes vārdnīcas.
Abi autori dokumentā minēja arī attiecīgās profilakses metodes. Apvienojiet ieteikumus vietnē Oracle Metalink. Vienkāršs kopsavilkums ir šāds:
Tīmekļa lietotņu lietotāju atļauju kontrole.
Ierobežojiet piekļuvi paroles jaucējkodu informācijai. SELECT ANY DICTIONARY atļauja ir rūpīgi jākontrolē
Atlasīt auditēšanas darbību DBA_USERS skatā
TNS pārraides satura šifrēšana
Palieliniet paroles garumu (vismaz 12 ciparus). Lietojiet paroles derīguma termiņa politiku. Parolēm jābūt burtciparu un jauktām, lai palielinātu sarežģītību utt. |
Publicēts 24.01.2015 13:44:38
|
|
|
