Dnes som dostal e-mailové oznámenie. Oracle reagoval na nedávny bezpečnostný článok s názvom Hodnotenie algoritmu hašovania hesiel Oracle. Autormi tohto článku, ktorý spôsobil Oracle problémy, sú Joshua Wright zo SANS a Carlos Cid. SANS z Royal Holloway College v Londýne má veľký vplyv v oblasti bezpečnosti. Oracle tiež musela mať bolesť hlavy. V článku sú spomenuté tri hlavné bezpečnostné otázky:
Slabé heslo "salt" Ak sa jeden používateľ volá Crack, heslo je heslo a druhý používateľ je Crac a heslo je kpassword, môžete zistiť podľa dátového slovníka, že heslo je v skutočnosti rovnaké! Pretože Oracle spracováva celý reťazec používateľských mien plus hesiel pred hashovaním (v našom prípade je používateľské meno a heslo rovnaký reťazec), čo vytvára nestabilitu v heslách.
Heslá nie sú citlivé na veľkosť písmen, čo nie je objav. Oracle heslá vždy neboli citlivé na veľkosť písmen. Tentoraz je to však vyvolané spolu s ďalšími otázkami od Oracle, ktoré majú určitú váhu. Enterprise User Security heslá s aplikovaným Oracle 10g sú rozlišujúce na veľkosť písmen.
Slabý hashovací algoritmus. Táto časť informácií môže odkazovať na metódu šifrovania hesla Oracle, ktorú som predstavil predtým. Kvôli krehkosti algoritmu sa možnosť, že ho offline slovníky prelomia, výrazne zvyšuje.
Obaja autori tiež v článku uviedli relevantné metódy prevencie. Skombinujte odporúčania na Oracle Metalink. Jednoduché zhrnutie je nasledovné:
Kontrolujte používateľské oprávnenia pre webové aplikácie.
Obmedzte prístup k informáciám o hashoch hesiel. Povolenie VYBRAŤ AKÝKOĽVEK SLOVNÍK by malo byť starostlivo kontrolované
Vyberte akciu pre audit v DBA_USERS zobrazení
Šifrovanie prenosového obsahu TNS
Zvýšte dĺžku hesla (aspoň o 12 číslic). Uplatnite politiku vypršania platnosti hesla. Heslá by mali byť alfanumerické a zmiešané, aby sa zvýšila zložitosť a podobne. |
Zverejnené 24. 1. 2015 13:44:38
|
|
|
