Oracle数据库内置密码保护是否防止传递哈希或重播攻击？

Question

Oracle数据库内置密码保护是否防止传递哈希或重播攻击？

阅读“Oracle数据库内置的密码保护是什么？”从http://docs.oracle.com/cd/B28359_01/network.111/b28531/authentication.htm#DBSEG30031中我看到AES加密和SHA-1哈希一样被使用.

我知道在网络上传输的数据是未加密的，但是初始会话设置和身份验证应该不会在清除中发送密码。

因此，如果不使用Oracle高级安全性(用于完全网络层加密)，内置方法是否可以防止传递哈希或重播攻击？

有没有什么类型的鼻涕虫？

我猜AES是用用户的密码完成的，还是密钥是以其他方式交换的？

Answer 1

我想你说的是TNS登录过程，而不是存储的散列。但以防万一:甲骨文多达10个存储的密码哈希作为简单的2-迭代DES超过了超感知的user+password，因为它是一个盐渍SHA-1。

对于具有密码身份验证的TNS登录(还有其他类似Kerberos)，该协议使用挑战响应，其中密码哈希是用会话密钥加密的。从10g开始，会话密钥更大，包含一个客户端和一个服务器部分(而不是以前的服务器部分)。

这其中最有问题的方面是，如果您有密码哈希，您可以使用它来蛮力一个嗅探的登录包。

所以简短地回答你的问题:是的(但不是很安全)。