Este artigo é um artigo espelhado de tradução automática, por favor clique aqui para ir para o artigo original.

Architect_Programmer_Code Rede Agrícola»Arquiteto Banco de Dados & Banco de Dados Oráculo Avaliação do algoritmo HASH do Oracle Password
Vista: 12586|Resposta: 0

[Comunicação] Avaliação do algoritmo HASH do Oracle Password

[Copiar link]
Publicado em 24/01/2015 13:44:38 | | |

Recebi uma notificação por e-mail hoje. A Oracle respondeu a um artigo recente de segurança, Uma Avaliação do Algoritmo de Hashing de Senhas da Oracle. Os autores deste artigo que causaram problemas para a Oracle são Joshua Wright, do SANS e Carlos Cid. Sans, do Royal Holloway College em Londres, tem muita influência no campo da segurança. A Oráculo também teve que estar com dor de cabeça. Há três principais questões de segurança mencionadas no artigo:

Senha fraca "sal" Se o nome de um usuário é Crack, a senha é senha, e o outro usuário é Crac, e a senha é kpassword, você pode descobrir consultando o dicionário de dados que a senha é realmente a mesma! Porque a Oracle processa toda a sequência de nomes de usuário mais senhas antes do hash (no nosso caso, nome de usuário e senha são a mesma string), o que cria instabilidade nas senhas.
Senhas não são sensíveis de maiúsculas e minúsculas, o que não é uma descoberta. As senhas da Oracle sempre foram indiferentes a maiúsculas minúsculas. No entanto, desta vez ela é levantada junto com outras perguntas da Oracle, que têm um pouco de peso. Senhas de Segurança do Usuário Corporativo com aplicação do Oracle 10g são sensíveis a maiúsculas minúsculas.
Algoritmo de hash fraco. Esta parte da informação pode se referir ao método de criptografia de senha da Oracle que introduzi antes. Devido à fragilidade do algoritmo, a possibilidade de ser decifrado por dicionários offline aumenta muito.

Os dois autores também mencionaram métodos de prevenção relevantes no artigo. Combine as recomendações no Oracle Metalink. Um resumo simples é o seguinte:

Controle as permissões dos usuários para aplicativos web.
Restringa o acesso às informações de hashes de senha. A permissão SELECIONE QUALQUER DICIONÁRIO deve ser cuidadosamente controlada
Selecione a ação para auditoria na visualização DBA_USERS visualização
Criptografar conteúdo de transmissão TNS
Aumente o comprimento da senha (pelo menos 12 dígitos). Aplique a política de expiração da senha. As senhas devem ser alfanuméricas e misturadas para aumentar a complexidade, etc.




Anterior:Oráculo
Próximo:Comando de conexão de configuração do banco de dados Oracle Remote Connect

Posts Relacionados
Disclaimer:
Todo software, material de programação ou artigos publicados pela Code Farmer Network são apenas para fins de aprendizado e pesquisa; O conteúdo acima não deve ser usado para fins comerciais ou ilegais, caso contrário, os usuários terão todas as consequências. As informações deste site vêm da Internet, e disputas de direitos autorais não têm nada a ver com este site. Você deve deletar completamente o conteúdo acima do seu computador em até 24 horas após o download. Se você gosta do programa, por favor, apoie um software genuíno, compre o registro e obtenha serviços genuínos melhores. Se houver qualquer infração, por favor, entre em contato conosco por e-mail.
Mail To:help@itsvse.com