Acest articol este un articol oglindă al traducerii automate, vă rugăm să faceți clic aici pentru a sări la articolul original.

Architect_Programmer_Code Rețeaua Agricolă»Arhitect Bază de date & Bază de date Oracol Evaluarea algoritmului HASH Oracle Password
Vedere: 12586|Răspunde: 0

[Comunicare] Evaluarea algoritmului HASH Oracle Password

[Copiază linkul]
Postat pe 24.01.2015 13:44:38 | | |

Am primit astăzi o notificare pe email. Oracle a răspuns unui articol recent de securitate, O evaluare a algoritmului Oracle Password Hashing. Autorii acestui articol care au creat probleme pentru Oracle sunt Joshua Wright de la SANS și Carlos Cid. SANS de la Royal Holloway College din Londra are multă influență în domeniul securității. Oracle trebuia să aibă și o durere de cap. Există trei probleme principale de siguranță menționate în lucrare:

Parola slabă "salt" Dacă numele unui utilizator este Crack, parola este parolă, iar celălalt utilizator este Crac, iar parola este kpassword, poți afla verificând dicționarul de date că parola este de fapt aceeași! Pentru că Oracle procesează întregul șir de nume de utilizator plus parole înainte de hashing (în cazul nostru, numele de utilizator și parola sunt același șir), ceea ce creează instabilitate în parole.
Parolele nu sunt sensibile la majuscule, ceea ce nu este o descoperire. Parolele Oracle au fost întotdeauna indistincte pentru majuscule. Totuși, de data aceasta este ridicată împreună cu alte întrebări de la Oracle, care au o oarecare greutate. Parolele Enterprise User Security cu Oracle 10g aplicat sunt sensibile la majuscule.
Algoritm de hash slab. Această parte a informațiilor poate face referire la metoda de criptare a parolelor Oracle pe care am prezentat-o anterior. Din cauza fragilității algoritmului, posibilitatea de a fi spart de dicționarele offline este mult crescută.

Cei doi autori au menționat, de asemenea, metode relevante de prevenire în articol. Combină recomandările de pe Oracle Metalink. Un rezumat simplu este următorul:

Controlează permisiunile utilizatorilor pentru aplicațiile web.
Restricționați accesul la informațiile despre hash-urile parolelor. Permisiunea SELECTEAZĂ ORICE DICȚIONAR ar trebui controlată cu atenție
Selectează acțiunea pentru auditare pe vizualizarea DBA_USERS
Criptarea conținutului transmisiei TNS
Mărește lungimea parolei (cel puțin 12 cifre). Aplică politica de expirare a parolelor. Parolele ar trebui să fie alfanumerice și amestecate pentru a crește complexitatea etc.




Precedent:Oracol
Următor:Comanda de conexiune Oracle Remote Connect Configuration DB

Postări conexe
Disclaimer:
Tot software-ul, materialele de programare sau articolele publicate de Code Farmer Network sunt destinate exclusiv scopurilor de învățare și cercetare; Conținutul de mai sus nu va fi folosit în scopuri comerciale sau ilegale, altfel utilizatorii vor suporta toate consecințele. Informațiile de pe acest site provin de pe Internet, iar disputele privind drepturile de autor nu au legătură cu acest site. Trebuie să ștergi complet conținutul de mai sus de pe calculatorul tău în termen de 24 de ore de la descărcare. Dacă îți place programul, te rugăm să susții software-ul autentic, să cumperi înregistrarea și să primești servicii autentice mai bune. Dacă există vreo încălcare, vă rugăm să ne contactați prin e-mail.
Mail To:help@itsvse.com