Подводя итог, следует сказать, что
Подводя итог, следует сказать, что реальной уязвимости на сегодняшний день противники СУБД Oracle не продемонстрировали. Каких-либо уязвимостей в криптографической конструкции не предъявлено. Новых теоретических результатов по вопросу получения несанкционированного доступа к СУБД Oracle тоже нет. Результаты по подбору паролей в [,] получены за счет эффективного применения вычислительных средств и осуществляют банальную силовую атаку на хеш. При отсутствии специализированного ПО либо специализированных аппаратных средств, осуществить такую атаку за разумное время невозможно, точнее вероятность успеха ничтожно мала, а время атаки космически велико.
Это подтверждается самими авторами [], которые не нашли уязвимость в криптосхеме или ее реализации, а всего лишь продемонстрировали очередной вариант силовой. Надо отдать им должное, они честно признают этот факт: «…нельзя сразу указать криптографическую слабость конструкции хеш-функции в СУБД Oracle …» Фактически они подтвердили, что единственный способ на сегодняшний день узнать пароль - это силовая атака (полный перебор).
Стойкость парольной защиты Oracle также подтверждается и известным сайтом, посвященном уязвимостям в СУБД Oracle: «It is not possible to decrypt a hashstring … »
Тем не менее, стоит подчеркнуть, что в системах с повышенными требованиями к безопасности для обеспечения надежной аутентификации следует использовать более сильные средства, чем стандартная парольная защита СУБД Oracle. Интересный вариант - настроить внешнюю аутентификацию и тем самым перенести проблему из СУБД в другое место.
Пользователям можно порекомендовать выбирать пароли, состоящие из нестандартных символов, заключая их в двойные кавычки.
Сравнивая парольные защиты в Oracle и ОС Unix, следует отметить, что ОС защищены слабее. Я имею в виду то, что в основных промышленных ОС - Solaris 8,9, HPUX 10,11, AIX 4,5- в качестве пароля используются только первые 8 знаков. Вы можете произвести эксперимент, и окажется, что, например, для пользователя root, пароли rootroot, rootroot1, rootroot2 и т.д. являются с точки зрения ОС одинаковыми, т.е. одинаково проходными! Так что, если Вы набираете 10 знаков при подключении к серверу, то фактически Вы набираете только первые 8. Спрашивается, имеет ли смысл защищать СУБД, если защита самого сервера слабее? В ОС Линукс и Solaris 10 ситуация с паролями намного лучше.
