|
|
|
Вопрос по пароли Oracle
|
|||
|---|---|---|---|
|
#18+
Добрый день! Есть задача периодической проверки сложности пароля на Oracle. Можно имея доступ на select dba_users определить пользователей с паролями из известного словаря? Т.е. собственно вопрос - как сформировать хеши к известным паролям? Интересуют варианты без брута. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 20.11.2017, 07:07 |
|
||
|
Вопрос по пароли Oracle
|
|||
|---|---|---|---|
|
#18+
mr.dfoxкак сформировать хеши к известным паролям?. Создал аккаунт. Задал ему известный пароль. Посмотрел хеш. Записал. Задал другой известный пароль. Посмотрел хеш. Записал. В чём сложности? Или имелось в виду что-то иное? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 20.11.2017, 08:07 |
|
||
|
Вопрос по пароли Oracle
|
|||
|---|---|---|---|
|
#18+
P.S. ... т.е. пройтись процедурой по заданному списку паролей и получить хеши... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 20.11.2017, 08:11 |
|
||
|
Вопрос по пароли Oracle
|
|||
|---|---|---|---|
|
#18+
P.P.S. ... а правильнее проверять сложность пароль при смене пароля verify_fuction ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 20.11.2017, 08:16 |
|
||
|
Вопрос по пароли Oracle
|
|||
|---|---|---|---|
|
#18+
ViewerP.S. ... т.е. пройтись процедурой по заданному списку паролей и получить хеши... Да именно так. В идеале что бы примерно вот так получить список пользователей: select * from dba_users where password = функция('123456zZ', username); ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 20.11.2017, 08:19 |
|
||
|
Вопрос по пароли Oracle
|
|||
|---|---|---|---|
|
#18+
ViewerP.P.S. ... а правильнее проверять сложность пароль при смене пароля verify_fuction Согласен, но нужно сделать анализ уже по факту ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 20.11.2017, 08:21 |
|
||
|
Вопрос по пароли Oracle
|
|||
|---|---|---|---|
|
#18+
Viewerт.е. пройтись процедурой по заданному списку паролей и получить хеши...Ты не забыл, что "старый" хэш зависит ещё и от имени пользователя? А "новый" содержит соль и никогда не повторяется? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 20.11.2017, 08:32 |
|
||
|
Вопрос по пароли Oracle
|
|||
|---|---|---|---|
|
#18+
mr.dfoxВ идеале что ы примерно вот так получить список пользователей: select * from dba_users where password = функция('123456zZ', username); Это звучит как "Дайте мне ключи от квартиры, где деньги лежат.." ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 20.11.2017, 08:34 |
|
||
|
Вопрос по пароли Oracle
|
|||
|---|---|---|---|
|
#18+
2 Elic, Спасибо, я помню... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 20.11.2017, 08:35 |
|
||
|
Вопрос по пароли Oracle
|
|||
|---|---|---|---|
|
#18+
mr.dfoxопределить пользователей с паролями из известного словарякакой в этом смысл? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 20.11.2017, 08:46 |
|
||
|
Вопрос по пароли Oracle
|
|||
|---|---|---|---|
|
#18+
опасный парольmr.dfoxопределить пользователей с паролями из известного словарякакой в этом смысл? Определить пользователей с известными простыми паролями и формировать отчетность. Табличка паролей динамическая (в процессе корректируется). В принципе можно пробовать осуществлять соединение..и там уже по результатам делать отчет.. но этот вариант не очень нравится. Да и с учетом кол-ва вариантов пароля (5-20) юзер будет блокироваться. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 20.11.2017, 08:57 |
|
||
|
Вопрос по пароли Oracle
|
|||
|---|---|---|---|
|
#18+
mr.dfox, а где уверенность в том, что у вас оракловая аутнетификация??? может у вас есть отдельная схема пользователей по которой и проходит аутентификация... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 20.11.2017, 09:17 |
|
||
|
Вопрос по пароли Oracle
|
|||
|---|---|---|---|
|
#18+
mr.dfoxформировать отчетностьА потом по этой отчетности ...? На ум приходит только повесить на доску позора, чтобы спровоцировать коллег на их взлом по тому самому словарю. А еще это добавление в систему способа взломать пароли, получив доступ к формированию словаря. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 20.11.2017, 09:47 |
|
||
|
Вопрос по пароли Oracle
|
|||
|---|---|---|---|
|
#18+
mr.dfoxViewerP.P.S. ... а правильнее проверять сложность пароль при смене пароля verify_fuction Согласен, но нужно сделать анализ уже по факту зачем? сделать принудительную смену пароля всем, предварительно включив verify_function, и сомнений не будет что у кого-то 12345 в качестве пароля. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 20.11.2017, 09:53 |
|
||
|
Вопрос по пароли Oracle
|
|||
|---|---|---|---|
|
#18+
Q.Tarantinomr.dfoxпропущено... Согласен, но нужно сделать анализ уже по факту зачем? сделать принудительную смену пароля всем, предварительно включив verify_function, и сомнений не будет что у кого-то 12345 в качестве пароля. Даже с учетом политики умудряются делать одинаковые относительно легкие пароли. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 20.11.2017, 11:01 |
|
||
|
Вопрос по пароли Oracle
|
|||
|---|---|---|---|
|
#18+
mr.dfoxQ.Tarantinoпропущено... зачем? сделать принудительную смену пароля всем, предварительно включив verify_function, и сомнений не будет что у кого-то 12345 в качестве пароля. Даже с учетом политики умудряются делать одинаковые относительно легкие пароли. и как они обходят verify_finction? :) не верю в чудеса ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 20.11.2017, 11:02 |
|
||
|
Вопрос по пароли Oracle
|
|||
|---|---|---|---|
|
#18+
mr.dfoxОпределить пользователей с известными простыми паролями и формировать отчетность. Табличка паролей динамическая (в процессе корректируется). В принципе можно пробовать осуществлять соединение..и там уже по результатам делать отчет.. но этот вариант не очень нравится. Да и с учетом кол-ва вариантов пароля (5-20) юзер будет блокироваться. Неправильная постановка задачи влечет неправильные пути решения. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 20.11.2017, 11:15 |
|
||
|
Вопрос по пароли Oracle
|
|||
|---|---|---|---|
|
#18+
Q.Tarantino, А никто и не обходит. К примеру вот такой пароль сделают 20 пользователей: QWERTY123456789!@#$%&() ...Это я грубо.. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 20.11.2017, 11:17 |
|
||
|
Вопрос по пароли Oracle
|
|||
|---|---|---|---|
|
#18+
mr.dfoxQ.Tarantino, А никто и не обходит. К примеру вот такой пароль сделают 20 пользователей: QWERTY123456789!@#$%&() ...Это я грубо.. а версия оракла? в 12с они функцию допилили нехило... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 20.11.2017, 11:24 |
|
||
|
Вопрос по пароли Oracle
|
|||
|---|---|---|---|
|
#18+
Q.Tarantino, 12 пока нет ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 20.11.2017, 11:56 |
|
||
|
Вопрос по пароли Oracle
|
|||
|---|---|---|---|
|
#18+
http://www.oradba.ch/2013/07/oracle-12c-new-password-verify-function/ Oracle Database 12.1.0.1 utlpwdmg.sql taken from Oracle 12.1.0.1 on Linux x86-64bit ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 20.11.2017, 13:00 |
|
||
|
|
start [/forum/topic.php?fid=52&fpage=137&tid=1884894]: |
0ms |
get settings: |
9ms |
get forum list: |
15ms |
check forum access: |
3ms |
check topic access: |
3ms |
track hit: |
69ms |
get topic data: |
12ms |
get forum data: |
3ms |
get page messages: |
57ms |
get tp. blocked users: |
2ms |
| others: | 232ms |
| total: | 405ms |
| 0 / 0 |
