Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 31/10/2005
To sikkerhedsforskere mener, at softwarehuset Oracles metode til at beskytte brugernes passwords er usikker. Det er for let at gendanne et password ud fra den krypterede udgave.Oracles software gemmer en krypteret udgave af brugernes passwords. I artiklen "An Assessment of the Oracle Password Hashing Algorithm" beskriver Joshua Wright fra SANS Institute og Carlos Cid fra University of London, hvordan Oracles system fungerer.
De når frem til, at systemet anvender en krypteringsmetode, der ikke kræver nogen større regnekraft. Derfor vil det være forholdsvis let for en hacker, der får fat i listen over krypterede passwords, at gætte sig til dem ved at prøve sig frem. Forfatterne nåede således op på at afprøve 830.000 passwords i sekundet i en test på en almindelig pc.
Artiklen indeholder nogle anbefalinger, der kan forbedre sikkerheden på Oracle-baserede systemer. For eksempel kan man tvinge brugerne til at anvende passwords, der er svære at gætte. Derudover anbefaler forfatterne, at kunderne fremfører deres ønske om stærkere passwordbeskyttelse over for Oracle.