Danes sem prejel obvestilo po elektronski pošti. Oracle je odgovoril na nedavni varnostni članek z naslovom Ocena algoritma za razprševanje gesel Oracle. Avtorja tega članka, ki je povzročil težave Oracleju, sta Joshua Wright iz SANS in Carlos Cid. SANS z Royal Holloway College v Londonu ima velik vpliv na področju varnosti. Oracle je morala imeti tudi glavobol. V članku so omenjena tri glavna varnostna vprašanja:
Šibko geslo "sol" Če je ime enega uporabnika Crack, geslo je geslo, drugi pa je Crac, geslo pa je kpassword, lahko s pregledom podatkovnega slovarja ugotovite, da je geslo dejansko enako! Ker Oracle obdela celoten niz uporabniških imen in gesel pred zgoščevanjem (v našem primeru sta uporabniško ime in geslo isti niz), kar povzroča nestabilnost gesel.
Gesla niso občutljiva na velike in male črke, kar ni odkritje. Gesla za Oracle so bila vedno neobčutljiva na velike in črke (case-in). Tokrat pa je to postavljeno skupaj z drugimi vprašanji Oracle, kar ima nekaj teže. Gesla za varnost uporabnikov v podjetjih z uporabo Oracle 10g so občutljiva na velike in male črke.
Šibek hash algoritem. Ta del informacij se lahko nanaša na Oracle metodo šifriranja gesla, ki sem jo prej predstavil. Zaradi krhkosti algoritma se možnost, da ga offline slovarji razbijejo, močno poveča.
Oba avtorja sta v članku omenila tudi ustrezne metode preprečevanja. Združite priporočila na Oracle Metalink. Preprost povzetek je naslednji:
Nadzorujte uporabniška dovoljenja za spletne aplikacije.
Omejite dostop do informacij o zgoščevalnih točkah gesla. Dovoljenje IZBERI KATERI KOLI SLOVAR je treba skrbno nadzorovati
Izberite dejanje za revizijo v DBA_USERS pogledu
Šifriranje vsebine prenosa TNS
Podaljšajte dolžino gesla (vsaj 12 številk). Uporabite politiko poteka gesla. Gesla naj bodo alfanumerična in mešana, da povečajo kompleksnost itd. |
Objavljeno na 24. 01. 2015 13:44:38
|
|
|
