Как взломать или обойти парольную защиту Oracle - Ответ Oracle на слабости парольной защиты

ОГЛАВЛЕНИЕ

Ответ Oracle на слабости парольной защиты 

В ответ на опубликование 18 октября 2005 года [1] фирма Oracle 10 ноября того же года опубликовала Note:340240.1 на metalink.oracle.com

Фирма рекомендует использовать управление паролями с помощью профилей, в частности, часто менять пароль и выбирать пароли не короче 12 символов. 

Пример функции проверки выставляемых паролей давно имеется в штатной поставке Oracle в файле utlpwdmg. sql. Пример употребления может выглядеть так: 

SQL> CONNECT / AS SYSDBA

Connected.

SQL> @?/rdbms/admin/utlpwdmg 

Function created. 

Profile altered.

SQL> ALTER USER scott IDENTIFIED BY tiger;

ALTER USER scott IDENTIFIED BY tiger

*

ERROR at line 1:

ORA-28003: password verification for the specified password failed

ORA-20003: Password should contain at least one digit, one character and one punctuation

SQL> ALTER USER scott IDENTIFIED BY tiger_1234567

User altered

SQL> SELECT * FROM user_history$; 

     USER# PASSWORD                       PASSWORD_

---------- ------------------------------ ---------

        38 F1A76B5340C01290               25-APR-07 

(Сценарий utlpwdmg. sql не только заводит функцию SYS.VERIFY_FUNCTION проверки выбираемого пользователем пароля, но и определяет парольные параметры профиля DEFAULT, в частности PASSWORD_REUSE_TIME. Чтобы отменить их действие, потребуется выставить командой ALTER PROFILE default … значения парольных параметров в UNLIMITED). 

Во-вторых, фирма рекомендует защищать все файлы, где может оказаться значение сверток паролей (см. выше). 

В-третьих, фирма советует защищать передачу данных по Oracle Net, и в-четвертых - полагаться на внешние системы аутентификации («беспарольное», с точки зрения СУБД, подключение, см. выше). 

В этом же пояснении фирмы приводится ссылка на находящийся в открытом доступе документ http://www.oracle.com/technology/deploy/security/pdf/twp_security_checklist_db_database.pdf с названием «Oracle Database Security Checklist», говорящем за себя. Документ датирован уже январем 2007 года; знакомство с ним систематизирует многое из рассмотренного выше. 

Неизменным пока остается самое уязвимое место в парольной защите Oracle: алгоритм вычисления свертки. Вероятное решение этой проблемы - дождаться версии 11 СУБД Oracle. По неофициальным сведениям в этой версии будет-таки введено различие больших и малых букв в пароле и алгоритм DES заменен на более современный, SHA-1 или AES ( http://www.petefinnigan.com/weblog/archives/00000976.htm, http://www.red-database-security.com/whitepaper/oracle_passwords.html ). Обработка паролей в версиях вплоть до 10.2, вероятно, меняться не будет.