Le protezioni con password incorporate del database Oracle impediscono attacchi pass-the-hash o replay?

4

Le protezioni con password incorporate del database Oracle impediscono attacchi pass-the-hash o replay?

Lettura delle "Quali sono le protezioni con password incorporate del database Oracle?" dal link Vedo che viene utilizzata la crittografia AES e SHA-1 hashing.

Capisco che i dati in transito sulla rete non siano crittografati, ma la configurazione e l'autenticazione della sessione iniziale suppongono di non inviare la password in chiaro.

Quindi SENZA utilizzando Oracle Advanced Security (per la crittografia a livello di rete completo) il metodo integrato impedisce attacchi pass-the-hash o replay?

C'è qualche tipo di noonce?

Immagino che AES abbia la password dell'utente o che la chiave sia scambiata in qualche altro modo?

    
posta Rodney 18.12.2013 - 17:27
fonte

1 risposta

1

Suppongo che tu stia parlando del processo di login di TNS e non degli hash memorizzati. Ma per ogni evenienza: Oracle fino a 10 hash di password memorizzati come semplice DES di iterazione su utente + password in maiuscolo da 11.1 è un salted SHA-1 .

Per gli accessi TNS con autenticazione password (ce ne sono altri come Kerberos), il protocollo utilizza una risposta di verifica in cui l'hash della password è crittografato con una chiave di sessione. A partire da 10g la chiave di sessione è più grande e contiene un client e una parte server (a differenza solo di una parte del server precedente).

L'aspetto più problematico di questo è che se hai l'hash della password puoi usarlo per forza bruta un pacchetto di accesso sniffato.

Risposta così breve alla tua domanda: sì (ma non è molto sicuro)

    
risposta data 04.01.2014 - 07:02
fonte

Leggi altre domande sui tag