Se ha publicado un estudio que pone de manifiesto la debilidad del algoritmo con el que las contraseñas son cifradas y almacenadas en Oracle.

Joshua Wright, investigador del SANS Institute, y Carlos Cid, del Royal Holloway College de la Universidad de Londres, revelan el método con el que son cifradas las contraseñas de las bases de datos Oracle antes de ser almacenadas. Entre otras debilidades, han descubierto que todas las contraseñas son convertidas a mayúsculas antes de calcular su hash, lo que reduce drásticamente el número de combinaciones a probar en un ataque por diccionario o fuerza bruta.

Además del estudio teórico, Wright ha presentado una herramienta que aprovecha en la práctica las debilidades detectadas, permitiendo a un atacante con recursos limitados obtener la contraseña partiendo del hash de un usuario conocido.

A la espera de que Oracle incremente la seguridad del algoritmo para almacenar sus contraseñas, la recomendación de los expertos es que se utilicen contraseñas fuertes (combinación de diferentes tipos de caracteres y longitud adecuada), así como que se asignen privilegios mínimos a los usuarios para mitigar los efectos ante un hipotético compromiso de sus cuentas.

Más información sobre esta noticia, en http://www.sans.org/rr/special/index.php?id=oracle_pass