Оцінка алгоритму HASH Oracle Password

тест · Опубліковано 24.01.2015 13:44:38

Сьогодні отримав сповіщення електронною поштою. Oracle відповіла на нещодавню статтю з безпеки «Оцінка алгоритму хешування паролів Oracle». Авторами цієї статті, яка спричинила проблеми для Oracle, є Джошуа Райт із SANS і Карлос Сід. SANS з Royal Holloway College у Лондоні має значний вплив у сфері безпеки. Оракул теж мав головний біль. У статті згадано три основні питання безпеки:

Слабкий пароль «salt» Якщо ім'я одного користувача — Crack, пароль — password, інший — Crac, і пароль — kpassword, ви можете дізнатися, перевіривши словник даних, що пароль насправді той самий! Тому що Oracle обробляє весь рядок імен користувачів плюс паролі перед хешуванням (у нашому випадку ім'я користувача і пароль — це один і той самий рядок), що створює нестабільність паролів.
Паролі не є чутливими до регістру, що не є відкриттям. Паролі Oracle завжди були нечутливими до регістру. Однак цього разу це порушується разом з іншими питаннями від Oracle, що має певну вагу. Паролі безпеки корпоративного користувача з застосуванням Oracle 10g мають чутливість до регістру.
Слабкий хеш-алгоритм. Ця частина інформації може стосуватися методу шифрування паролем Oracle, який я представив раніше. Через крихкість алгоритму ймовірність того, що його зламають офлайн-словники, значно зростає.

Обидва автори також згадали відповідні методи профілактики у статті. Поєднайте рекомендації на Oracle Metalink. Просте резюме таке:

Керуйте правами користувачів для веб-додатків.
Обмежити доступ до інформації з хешів паролів. Дозвіл SELECT ANY DICTIONARY слід ретельно контролювати
Виберіть дію для аудиту DBA_USERS view
Шифрування контенту передачі TNS
Збільште довжину пароля (щонайменше 12 цифр). Застосуйте політику закінчення терміну дії пароля. Паролі мають бути буквено-цифровими та змішаними для підвищення складності тощо.

[Зв'язок] Оцінка алгоритму HASH Oracle Password

Пов'язані дописи

Переглянуті розділи