Dit artikel is een spiegelartikel van machinevertaling, klik hier om naar het oorspronkelijke artikel te gaan.

Architect_Programmer_Code Landbouwnetwerk»Architect Database & Database Orakel Oracle Password HASH-algoritme-evaluatie
Bekijken: 12586|Antwoord: 0

[Communicatie] Oracle Password HASH-algoritme-evaluatie

[Link kopiëren]
Geplaatst op 24-01-2015 13:44:38 | | |

Vandaag een e-mailmelding ontvangen. Oracle reageerde op een recent beveiligingsartikel, An Assessment of the Oracle Password Hashing Algorithm. De auteurs van dit artikel dat problemen veroorzaakte voor Oracle zijn Joshua Wright van SANS en Carlos Cid. SANS van Royal Holloway College in Londen heeft veel invloed op het gebied van beveiliging. Oracle moest ook hoofdpijn hebben. Er worden drie hoofdveiligheidskwesties genoemd in het artikel:

Zwak wachtwoord "zout". Als de naam van de ene gebruiker Crack is, het wachtwoord wachtwoord, en de andere gebruiker Crac, en het wachtwoord kpassword, kun je door het datadictionary te raadplegen zien dat het wachtwoord eigenlijk hetzelfde is! Omdat Oracle de hele reeks gebruikersnamen plus wachtwoorden verwerkt voordat het wordt gehasht (in ons geval zijn gebruikersnaam en wachtwoord dezelfde string), wat instabiliteit in wachtwoorden veroorzaakt.
Wachtwoorden zijn niet hoofdlettergevoelig, wat geen ontdekking is. Oracle-wachtwoorden zijn altijd naam-ongevoelig geweest. Deze keer wordt het echter gesteld samen met andere vragen van Oracle, die weinig gewicht hebben. Enterprise User Security-wachtwoorden met Oracle 10g toegepast zijn hoofdlettergevoelig.
Zwak hash-algoritme. Dit deel van de informatie kan verwijzen naar de Oracle wachtwoordencryptiemethode die ik eerder heb geïntroduceerd. Door de kwetsbaarheid van het algoritme is de kans om door offline woordenboeken te worden gekrakt sterk vergroot.

De twee auteurs noemden ook relevante preventiemethoden in het artikel. Combineer de aanbevelingen op Oracle Metalink. Een eenvoudige samenvatting is als volgt:

Beheer gebruikersrechten voor webapps.
Beperk de toegang tot wachtwoord-hashes. De SELECTEER EEN WOORDENBOEK toestemming moet zorgvuldig worden gecontroleerd
Selecteer actie voor auditing op DBA_USERS weergave
Versleutel TNS-transmissie-inhoud
Verleng de wachtwoordlengte (minstens 12 cijfers). Pas het beleid voor het verlopen van het wachtwoord toe. Wachtwoorden moeten alfanumeriek zijn en gemengd om de complexiteit te verhogen, enzovoort.




Vorig:Orakel
Volgend:Oracle Remote Connect DB Configuration verbindingsopdracht

Gerelateerde berichten
Disclaimer:
Alle software, programmeermaterialen of artikelen die door Code Farmer Network worden gepubliceerd, zijn uitsluitend bedoeld voor leer- en onderzoeksdoeleinden; De bovenstaande inhoud mag niet worden gebruikt voor commerciële of illegale doeleinden, anders dragen gebruikers alle gevolgen. De informatie op deze site komt van het internet, en auteursrechtconflicten hebben niets met deze site te maken. Je moet bovenstaande inhoud volledig van je computer verwijderen binnen 24 uur na het downloaden. Als je het programma leuk vindt, steun dan de echte software, koop registratie en krijg betere echte diensten. Als er sprake is van een inbreuk, neem dan contact met ons op via e-mail.
Mail To:help@itsvse.com