Эта статья является зеркальной статьёй машинного перевода, пожалуйста, нажмите здесь, чтобы перейти к оригиналу.

Architect_Programmer_Code Сельскохозяйственная сеть»Архитектор База данных и база данных Оракул Оценка алгоритмов HASH Oracle Password
Вид: 12586|Ответ: 0

[Связь] Оценка алгоритмов HASH Oracle Password

[Скопировать ссылку]
Опубликовано 24.01.2015 13:44:38 | | |

Сегодня получил уведомление по электронной почте. Oracle ответила на недавнюю работу по безопасности под названием «Оценка алгоритма хэширования паролей Oracle». Авторами этой статьи, которая вызвала проблемы для Oracle, являются Джошуа Райт из SANS и Карлос Сид. SANS из Royal Holloway College в Лондоне имеет большое влияние в области безопасности. У Оракул тоже была головная боль. В статье упоминаются три основных вопроса безопасности:

Слабый пароль «salt» Если у одного пользователя имя Crack, пароль — password, другой — Crac, и пароль — kpassword, вы можете узнать, проверив словарь данных, что пароль на самом деле тот же! Потому что Oracle обрабатывает всю строку имён пользователей плюс пароли до хеширования (в нашем случае имя пользователя и пароль — это одна и та же строка), что создаёт нестабильность паролей.
Пароли не зависят от регистра, что не является открытием. Пароли Oracle всегда были невнимательны к регистру. Однако на этот раз это поднимается вместе с другими вопросами от Oracle, что имеет некоторый вес. Пароли безопасности корпоративного пользователя с применением Oracle 10g чувствительны к регистру.
Слабый хеш-алгоритм. Эта часть информации может относиться к методу шифрования паролей Oracle, который я представил ранее. Из-за хрупкости алгоритма вероятность взлома офлайн-словарей значительно возрастает.

Оба автора также упомянули соответствующие методы профилактики в статье. Объедините рекомендации на Oracle Metalink. Простое резюме следующее:

Управление правами пользователей для веб-приложений.
Ограничить доступ к информации с хэшами паролей. Разрешение SELECT ANY DICTIONARY следует тщательно контролировать
Выберите действие для аудита в DBA_USERS представлении
Шифрование контента передачи TNS
Увеличьте длину пароля (не менее 12 цифр). Примените политику истечения срока действия пароля. Пароли должны быть буквенно-цифровыми и смешанными для повышения сложности и т.д.




Предыдущий:Оракул
Следующий:Команда подключения конфигурации базы данных Oracle Remote Connect

Связанные публикации
Отказ:
Всё программное обеспечение, программные материалы или статьи, публикуемые Code Farmer Network, предназначены исключительно для учебных и исследовательских целей; Вышеуказанный контент не должен использоваться в коммерческих или незаконных целях, иначе пользователи несут все последствия. Информация на этом сайте взята из Интернета, и споры по авторским правам не имеют отношения к этому сайту. Вы должны полностью удалить вышеуказанный контент с компьютера в течение 24 часов после загрузки. Если вам нравится программа, пожалуйста, поддержите подлинное программное обеспечение, купите регистрацию и получите лучшие подлинные услуги. Если есть нарушение, пожалуйста, свяжитесь с нами по электронной почте.
Mail To:help@itsvse.com