Oracle-Passwörter leicht zu knacken

Sicherheitsexperten kritisieren mangelhaftes Verschlüsselungsverfahren

Auf der diese Woche in Los Angeles stattfindenden SANS Network Security-Konferenz riefen Sicherheitsexperten den Software-Hersteller Oracle dazu auf, seine Sicherheitspraktiken zu verbessern. So sei der in Oracle-Datenbanken verwendete Mechanismus zur Sicherung von Benutzerpasswörtern unausreichend: Angreifer könnten die Passwörter leicht aushebeln, und so an sensible Unternehmensdaten gelangen.

Die Security-Forscher Joshua Wright vom SANS Institute und Carlos Cid von der University of London wollen eine Methode entwickelt haben, sogar starke, gut gewählte Oracle-Passwörter innerhalb von Minuten zu knacken. In einer Untersuchung (PDF-Download hier) identifizierten die Researcher gravierende Schwächen in dem von Oracle verwendeten Verschlüsselungsverfahren. Zu den dokumentierten Problemen gehören ein mangelhafter Hash-Algorithmus sowie die fehlende Unterscheidung zwischen Groß- und Kleinschreibung – alle Passwörter werden vor der Generierung des Hash-Werts erst einmal in Großbuchstaben umgewandelt.

In einer am Mittwoch auf der Konferenz gehaltenen Präsentation stellte Wright ein selbst geschriebenes Tool zum Ausspähen der Passwörter vor.

Eigenen Angaben zufolge haben Wright und Cid Oracle bereits im Juli über die Ergebnisse ihrer Arbeit unterrichtet. Anfragen zu einer Stellungnahme des Software-Herstellers zu der Untersuchung sollen bislang unbeantwortet geblieben sein.

Oracle gerät wegen seiner Vorgehensweise in Sicherheitsfragen zunehmend ins Kreuzfeuer der Kritik. Experten bemängeln die vergleichsweise langsame Veröffentlichung, unausreichende Dokumentation sowie die unzuverlässige Qualität der von Oracle herausgegebenen Updates.

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Oracle-Passwörter leicht zu knacken

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *