Denne artikkelen er en speilartikkel om maskinoversettelse, vennligst klikk her for å hoppe til originalartikkelen.

Architect_Programmer_Code Landbruksnettverket»Arkitekt Database & Database Orakel Evaluering av Oracle Password HASH-algoritmen
Utsikt: 12586|Svare: 0

[Kommunikasjon] Evaluering av Oracle Password HASH-algoritmen

[Kopier lenke]
Publisert på 24.01.2015 13:44:38 | | |

Mottok en e-postvarsling i dag. Oracle svarte på et nylig sikkerhetsdokument, An Assessment of the Oracle Password Hashing Algorithm. Forfatterne av denne artikkelen som skapte problemer for Oracle er Joshua Wright fra SANS og Carlos Cid. SANS ved Royal Holloway College i London har stor innflytelse innen sikkerhet. Oracle måtte også ha hodepine. Det er tre hovedsikkerhetsspørsmål nevnt i artikkelen:

Svak passord-"salt" Hvis en brukers navn er Crack, passordet er passord, og den andre brukeren er Crac, og passordet er kpassword, kan du ved å sjekke datadictionaryen finne ut at passordet faktisk er det samme! Fordi Oracle behandler hele strengen med brukernavn pluss passord før hashing (i vårt tilfelle er brukernavn og passord samme streng), noe som skaper ustabilitet i passordene.
Passord er ikke små og små bokstaver, noe som ikke er en oppdagelse. Oracle-passord har alltid vært små og små bokstaver. Denne gangen tas det imidlertid opp sammen med andre spørsmål fra Oracle, som har litt tyngde. Enterprise User Security-passord med Oracle 10g brukt er små og små bokstaver.
Svak hash-algoritme. Denne delen av informasjonen kan referere til Oracle-passordkrypteringsmetoden jeg introduserte tidligere. På grunn av algoritmens sårbarhet øker muligheten for å bli knekket av offline ordbøker betydelig.

De to forfatterne nevnte også relevante forebyggingsmetoder i artikkelen. Kombiner anbefalingene på Oracle Metalink. En enkel oppsummering er som følger:

Kontroller brukertillatelser for webapper.
Begrens tilgangen til hash-informasjon om passord. VELG EN HVILKEN SOM HELST ORDBOK-tillatelsen bør kontrolleres nøye
Velg handling for revisjon på DBA_USERS visning
Krypter TNS-overføringsinnhold
Øk passordlengden (minst 12 sifre). Bruk utløpspolicy for passord. Passord bør være alfanumeriske og blandet for å øke kompleksiteten, osv.




Foregående:Orakel
Neste:Oracle Remote Connect DB Configuration tilkoblingskommando

Relaterte innlegg
Ansvarsfraskrivelse:
All programvare, programmeringsmateriell eller artikler publisert av Code Farmer Network er kun for lærings- og forskningsformål; Innholdet ovenfor skal ikke brukes til kommersielle eller ulovlige formål, ellers skal brukerne bære alle konsekvenser. Informasjonen på dette nettstedet kommer fra Internett, og opphavsrettstvister har ingenting med dette nettstedet å gjøre. Du må fullstendig slette innholdet ovenfor fra datamaskinen din innen 24 timer etter nedlasting. Hvis du liker programmet, vennligst støtt ekte programvare, kjøp registrering, og få bedre ekte tjenester. Hvis det foreligger noen krenkelse, vennligst kontakt oss på e-post.
Mail To:help@itsvse.com