Oracle數據庫密碼破解易如反掌？

2024-08-29 13:34:29

字體：大中小

來源：轉載

供稿：網友

這幾天關于 Oracle 安全方面的消息很是令人震動．看來安全專家們是盯上了 Oracle. 隨著對 Oracle 加密體系的研究不斷深入，有人重新研究了 Oracle 的密碼加密算法大致信息. 估計是為了引起 Oracle 技術圈子的注重，有好事者居然冒充 PSOUG 的 Daniel A. Morgan 在Google新聞組貼出了這篇文章.這篇文章先從 Oracle 的密碼設計目標開始("反向工程")，然后說了加密的大致思路是這樣的：用戶名字和密碼合并成一個字符串"s" "s" 轉換為unicode 用 DES 的ncbc mode模式加密.Key為 0x123456789abcdef, 初始化向量為 0 同樣的串用更新的初始化向量作為Key再次加密更新的初始化向量作為 Hash 伴隨著"潘多拉的盒子"被打開,很多密碼 Crack 工具如雨后春筍般冒了出來，目前不下 10 多種．這其中比較引人注重的是 orabf 0.7 ,因為他是目前最快的工具．在 Pentium 4, 3 GHz (Windows xp) 的機器上每秒鐘可以破解 1,100,000 個密碼(感覺有些夸張). 聞名的 Oracle 安全研究廠商 Red Database Security 也發布了自己的密碼檢查工具 Checkpwd．這個工具和 orabf 一樣，也是基于字典的．在該站點上還提供了一份各種 Oracle 密碼破解工具的比較.非常值得一看！　另外值得注重的是有人寫出了針對 John the ripper 這個老牌破解工具的插件. 其實話說回來，這個關于 Oracle 密碼加密的研究是早在 1993 年由 Bob Baldwin 發布的.不過當初似乎并沒有引起人們注重．為什麼安全專家們開始翻老箱子底了呢? 一個原因是Oracle本身的安全問題的確不少，密碼也的確存在不少問題(比如，database link 的密碼是明文保存在數據庫里的)，另一個原因恐怕也和 Oracle 的首席安全官 Davidson 的大放厥詞有關,恐怕是她的措辭大大激怒了安全專家們.好戲還有......

上一篇：Oracle9i中利用自動撤銷管理的優點

下一篇：全面介紹：Oracle數據庫日期處理