Categories: Sicherheit

Oracle-Passwörter leicht zu knacken

Auf der diese Woche in Los Angeles stattfindenden SANS Network Security-Konferenz riefen Sicherheitsexperten den Software-Hersteller Oracle dazu auf, seine Sicherheitspraktiken zu verbessern. So sei der in Oracle-Datenbanken verwendete Mechanismus zur Sicherung von Benutzerpasswörtern unausreichend: Angreifer könnten die Passwörter leicht aushebeln, und so an sensible Unternehmensdaten gelangen.

Die Security-Forscher Joshua Wright vom SANS Institute und Carlos Cid von der University of London wollen eine Methode entwickelt haben, sogar starke, gut gewählte Oracle-Passwörter innerhalb von Minuten zu knacken. In einer Untersuchung (PDF-Download hier) identifizierten die Researcher gravierende Schwächen in dem von Oracle verwendeten Verschlüsselungsverfahren. Zu den dokumentierten Problemen gehören ein mangelhafter Hash-Algorithmus sowie die fehlende Unterscheidung zwischen Groß- und Kleinschreibung – alle Passwörter werden vor der Generierung des Hash-Werts erst einmal in Großbuchstaben umgewandelt.

In einer am Mittwoch auf der Konferenz gehaltenen Präsentation stellte Wright ein selbst geschriebenes Tool zum Ausspähen der Passwörter vor.

Eigenen Angaben zufolge haben Wright und Cid Oracle bereits im Juli über die Ergebnisse ihrer Arbeit unterrichtet. Anfragen zu einer Stellungnahme des Software-Herstellers zu der Untersuchung sollen bislang unbeantwortet geblieben sein.

Oracle gerät wegen seiner Vorgehensweise in Sicherheitsfragen zunehmend ins Kreuzfeuer der Kritik. Experten bemängeln die vergleichsweise langsame Veröffentlichung, unausreichende Dokumentation sowie die unzuverlässige Qualität der von Oracle herausgegebenen Updates.

ZDNet.de Redaktion

Recent Posts

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

13 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

15 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

15 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

19 Stunden ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

19 Stunden ago

Latrodectus: Gefährlicher Nachfolger von IcedID

Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.

19 Stunden ago