To IT-sikkerhetseksperter, Joshua Wright fra Sans Institute og Carlos Sid fra Royal Holloway College, University of London, holdt i går et foredrag ved en sikkerhetskonferanse i Los Angeles der de kritiserte passordvernet i Oracle.
De to har også publisert en rapport som kan lastes ned fra nettstedet til Sans Institute: An Assessment of the Oracle Password Hashing Algorithm.
Forskerne skriver at det er mulig å avdekke passord til et Oracle-system i løpet av få minutter, selv når passordet er sterkt og velskrevet.
Årsaken er at teknikken som Oracle bruker for å kryptere passord, ikke er sikker nok. Sårbarheten åpner for at uvedkommende kan bryte seg inn i databaser og applikasjoner som lagrer følsom informasjon.
I praksis dreier det seg om flere sårbarheter, i tillegg til svak hash-algoritme.
– Ved å utnytte disse svakhetene, kan en fiende med begrensede ressurser legge opp et angrep for å avdekke passordet til en kjent bruker i klartekst, heter det i rapporten.
Forskerne sier de informerte Oracle om svakhetene i juli. Trass i gjentatte henvendelser, skal de ikke ha fått tilbakemeldinger. De krever nå at Oracle straks tar tiltak for å bedre passordvernet.
De to forskerne anbefaler inntil videre brukerne å beskytte sine systemer med sterke passord, og sørge for at brukerrettighetene begrenses til det minimum brukerne virkelig trenger.
Les også:
- [18.01.2006] Oracle tetter 82 sikkerhetshull
- [21.12.2005] Oracle gjør grep for å bedre sikkerheten
- [14.11.2005] Vil tjene penger på å knekke passord
- [08.11.2005] Fem ting du må kunne for sikkerhets skyld
- [19.10.2005] Oracle tettet 89 sikkerhetshull
- [22.07.2005] Oracle-sårbarheter fortsatt åpne etter to år
