¿Las protecciones de contraseña incorporadas en la base de datos de Oracle previenen los ataques de repetición o el hash?

Question

¿Las protecciones de contraseña incorporadas en la base de datos de Oracle previenen los ataques de repetición o el hash?

#1 de eckes (1 votos)

4

¿Las protecciones de contraseña incorporadas en la base de datos de Oracle previenen los ataques de repetición de acceso o hash?

Leyendo "¿Qué son las protecciones de contraseña incorporadas en la base de datos Oracle?" de enlace Veo que se usa el cifrado AES y SHA-1 hashing.

Comprendo que los datos en tránsito en la red no están encriptados, pero se supone que la configuración y la autenticación de la sesión inicial no envían la contraseña de forma clara.

Entonces SIN usar Oracle Advanced Security (para el cifrado de capa de red completa), ¿el método incorporado evita los ataques de repetición de acceso o reproducción?

¿Hay algún tipo de mediodía?

Supongo que el AES se realiza con la contraseña del usuario o ¿se ha cambiado la clave de alguna otra manera?

passwords databases oracle

pregunta Rodney 18.12.2013 - 17:27

fuente

1 respuesta

Lea otras preguntas en las etiquetas passwords databases oracle

Administrar e implementar contraseñas de aplicaciones web OAuth2 - ¿Es seguro devolver el token de acceso al usuario?

score 1 · Answer 1

Supongo que está hablando del proceso de inicio de sesión de TNS y no de los hashes almacenados. Pero por si acaso: Oracle hasta 10 hashes de contraseña almacenados como DES de 2 iteraciones sencillas sobre usuario + contraseña en mayúsculas desde la versión 11.1 es una SHA-1 con sal .

Para los inicios de sesión TNS con autenticación de contraseña (hay otros como Kerberos), el protocolo usa una respuesta de desafío donde el hash de la contraseña se cifra con una clave de sesión. Comenzando con 10g, la clave de la sesión es más grande y contiene un cliente y una parte del servidor (a diferencia de solo una parte del servidor anterior).

El aspecto más problemático de esto es que, si tiene el hash de contraseña, puede usarlo para fuerza bruta un paquete de inicio de sesión sniffed.

Responda tan brevemente a su pregunta: sí (pero no es muy seguro).