Kritiserer svakt passordvern i Oracle

Forskere mener måten Oracle beskytter passord på er for svak, og krever strakstiltak.

To IT-sikkerhetseksperter, Joshua Wright fra Sans Institute og Carlos Sid fra Royal Holloway College, University of London, holdt i går et foredrag ved en sikkerhetskonferanse i Los Angeles der de kritiserte passordvernet i Oracle.

De to har også publisert en rapport som kan lastes ned fra nettstedet til Sans Institute: An Assessment of the Oracle Password Hashing Algorithm.

Forskerne skriver at det er mulig å avdekke passord til et Oracle-system i løpet av få minutter, selv når passordet er sterkt og velskrevet.

Årsaken er at teknikken som Oracle bruker for å kryptere passord, ikke er sikker nok. Sårbarheten åpner for at uvedkommende kan bryte seg inn i databaser og applikasjoner som lagrer følsom informasjon.

I praksis dreier det seg om flere sårbarheter, i tillegg til svak hash-algoritme.

– Ved å utnytte disse svakhetene, kan en fiende med begrensede ressurser legge opp et angrep for å avdekke passordet til en kjent bruker i klartekst, heter det i rapporten.

Forskerne sier de informerte Oracle om svakhetene i juli. Trass i gjentatte henvendelser, skal de ikke ha fått tilbakemeldinger. De krever nå at Oracle straks tar tiltak for å bedre passordvernet.

De to forskerne anbefaler inntil videre brukerne å beskytte sine systemer med sterke passord, og sørge for at brukerrettighetene begrenses til det minimum brukerne virkelig trenger.

    Les også:

Til toppen