Bugün bir e-posta bildirimi aldım. Oracle, yakın zamanda yayımlanan bir güvenlik makalesi olan Oracle Şifre Hashing Algoritmasının Değerlendirilmesi üzerine yanıt verdi. Oracle için sorun çıkaran bu makalenin yazarları SANS'tan Joshua Wright ve Carlos Cid'dir. Londra'daki Royal Holloway College'dan SANS, güvenlik alanında büyük etkiye sahiptir. Oracle ayrıca baş ağrısı da çekiyordu. Makalede üç ana güvenlik sorunu belirtilmiştir:
Zayıf şifre "tuz" Eğer bir kullanıcının adı Crack, şifre password, diğer kullanıcı Crac ve şifre kpassword, veri sözlüğüne bakarak şifrenin aslında aynı olduğunu anlayabilirsiniz! Çünkü Oracle, hash yapmadan önce tüm kullanıcı adları dizisini ve şifreleri işliyor (bizim durumda kullanıcı adı ve şifre aynı dizedir), bu da şifrelerde istikrarsızlık yaratır.
Şifreler büyük harf hassasiyetli değildir, bu bir keşif değildir. Oracle şifreleri her zaman büyük harf duyarsız olmuştur. Ancak bu sefer, Oracle'dan gelen diğer sorularla birlikte gündeme getiriliyor ve bu da biraz ağırlık taşıyor. Oracle 10g uygulandığında Kurumsal Kullanıcı Güvenliği şifreleri büyük harf duyarlıdır.
Zayıf hash algoritması. Bu bilgi kısmı, daha önce tanıttığım Oracle şifre şifreleme yöntemine atıfta bulunabilir. Algoritmanın kırılganlığı nedeniyle, çevrimdışı sözlükler tarafından kırılma olasılığı büyük ölçüde artar.
İki yazar makalede ilgili önleme yöntemlerinden de bahsetti. Oracle Metalink'teki önerileri birleştirin. Basit bir özet şöyledir:
Web uygulamaları için kullanıcı izinlerini kontrol edin.
Şifre hash bilgilerine erişimi kısıtlayın. HERHANGI BIR SÖZLÜK SEÇ izni dikkatlice kontrol edilmelidir
Denetim için eylemi seç DBA_USERS görünümde
TNS iletim içeriğini şifrele
Şifre süresini artırın (en az 12 hane). Şifre süresi dolma politikasını uygulayın. Şifreler alfanumerik ve karışık olmalı, böylece karmaşıklık artırılır. |
Yayınlandı 24.01.2015 13:44:38
|
|
|
