Red-Database-Security GmbH ist Spezialist für Oracle SecurityProdukteRepscan 2.5 Hedgehog Enterprise Checkpwd (free)
Dienstleistungen
Informationen
Neuigkeiten/Termine
Firma
|
Oracle Password Checker (Cracker) Checkpwd 1.23 ist ein frei verfügbarer, auf einem Wörterbuch basierender Password Checker für Oracle Datenbanken. Er ist ein nützliches Werkzeug für DBAs um Oracle Kennungen mit schwachen oder auf den Defaultwert gesetzten Kennwörtern zu identifizieren. Zur Zeit is checkpwd die schnellst Möglichkeit, Oracle Datenbankpassworte mit einer Wörterbuchdatei zu vergleichen (siehe Benchmark). Checkpwd generiert aus den Einträgen im Wörterbuch Hashkeys, die mit den in der View DBA_USERS abgespeicherten Kennwörter, die ebenfalls als Hashkey vorliegen, verglichen werden. Details über Oracle Datenbankkennwörter sind hier verfügbar: Informationen -> Fakten --> Fact Sheet about Oracle Passwords Wegen der bevorstehenden Änderung des Paragraphen §202c StGB ist in Deutschland nur noch eine Version von Checkpwd erhältlich, die keine Passworte mehr anzeigt. Downloads Checkpwd 1.23 - Ohne Passwortanzeige - (für Windows) + default passwords + libaries + wordlist with 1.5 Mio words + Oracle Instant Client 10.2 (35 MB, MD5SUM: f59fccf9c586254ad3ba367e75b8027d *oracle_checkpwd_nopw_big.zip) Checkpwd 1.23 - Ohne Passwortanzeige - (für Windows) + default passwords + libaries (1.5 MB, MD5SUM: 6638b0c82dea7685b6e045c9f7136168 *oracle_checkpwd_nopw.zip) Checkpwd 1.23 - Ohne Passwortanzeige - (für Linux) + default passwords + Instant Client 10.2 (42 MB, MD5SUM: b0f356a27f6089275637555fbe70445d *oracle_checkpwd_nopw_linux.tar.gz) Checkpwd 1.23 - Ohne Passwortanzeige - (für Mac OSX (Intel)) + default passwords (without Instant Client) (68 KB, MD5SUM: edac226122e78c7690bef1b0e4780959 *oracle_checkpwd_nopw_mac_intel.zip) Checkpwd 1.23 - Ohne Passwortanzeige - (für Mac OSX (PPC)) + default passwords (without Instant Client) (56 KB, MD5SUM: dc4a3c623224055de5a8bac0f076f7a6 *oracle_checkpwd_nopw_mac.tar.gz) Checkpwd mit Oracle Datenbank Anbindung (Oracle Instant Client erforderlich) C:\>checkpwd system/strongpw@123.34.54.123:1521/ORCL password_list.txt Checkpwd 1.23 [Win] - nopw - (c) 2005-2007 by Red-Database-Security GmbH Oracle Security Consulting, Security Audits & Security Trainings http://www.red-database-security.de initializing Oracle client library connecting to the database retrieving users and password hash values opening weak password list file reading weak passwords list checking passwords Starting 4 threads MDSYS has a weak password [EXPIRED & LOCKED] ORDSYS has a weak password [EXPIRED & LOCKED] DUMMY123 has a weak password [OPEN] DBSNMP OK [OPEN] SCOTT has weak a password [OPEN] CTXSYS has weak a password [EXPIRED & LOCKED] SH has weak a password [EXPIRED & LOCKED] OUTLN has weak a password [EXPIRED & LOCKED] DIP has weak a password [EXPIRED & LOCKED] DUMMY321 has weak a password [OPEN] [...] SYS OK [OPEN] SYSTEM OK [OPEN] Done. Summary: Passwords checked : 13900828 Weak passwords found : 23 Elapsed time (min:sec) : 0:44 Passwords / second : 465486 Stand-Alone-Version: Checkpwd ohne Oracle Datenbank Anbindung (Oracle Client nicht erforderlich) c:\>checkpwd SCOTT:F894844C34402B67 default_passwords.txt Checkpwd 1.23 [Win] - nopw - (c) 2005-2007 by Red-Database-Security GmbH Oracle Security Consulting, Security Audits & Security Trainings http://www.red-database-security.de opening weak password list file reading weak passwords list checking passwords SCOTT OK Done. Summary: Passwords checked : 1543900 Weak passwords found : 0 Elapsed time (min:sec) : 0:03 Passwords / second : 540355 FAQ Q: Ich erhalte die Fehlermeldung "Die Dynamic Link Library MSVCR80.dll wurde nicht im angegebenen Pfad gefunden. A: Die DLL MSVCR80.dll war nicht Teil von checkpwd. Bitte laden Sie Checkpwd 1.23 erneut herunter. Q: Wo kann ich die Oracle Client Software bekommen ? A: Ein Oracle Client ist frei verfügbar bei Oracle OTN. Windows Linux x86 Q: Was ist der Unterschied zwischen der Stand-Alone-Version und der normalen Version? A: Die normale Version setzt die Installation des Oracle Client voraus, da Checkpwd sich mit der Datenbank verbindet. Die Stand-Alone-Version kann sich nicht zur Datenbank verbinden und prüft lediglich den als Parameter übergebenen Hashkey. Q: Welche Linux-Versionen werden unterstützt ? A: Checkpwd 1.1 wurde erfolgreich getestet auf Backtrack, Red Hat Enterprise Server 3 und Red Hat Fedora Core release 4 (Vielen Dank an Paul van Maaren für die Tests). Q: Gibt es ein erweitertes Wörterbuch mit Permutations wie Oracle, 0racle, Oracle1, Oracle2, ...? A: Sie können zum Beispiel "John the Ripper" benützen um ein derartiges Wörterbuch zu erzeugen (z.Bsp: john.exe -wordfile:password_list.txt -stdout -rules > password_list_big.txt). Das Ergebnis ist eine 840 MB große Datei. Historie 1.0 - Erste Version 1.1 - Kleinere Änderungen Der Status der Oraclekennung wird angezeigt (OPEN, EXPIRED, LOCKED) Prüfen auf schwaches Kennwort (Kennwort = Username) Linux Version (static, shared and standalone) Im Wörterbuch sind jetzt auch \n oder \r\n möglich Das Wörterbuch ist in Großbuchstaben umgesetzt 1.12 - Kleinere Änderungen Unterstützung von Oracle Easy Connect Verwendung des Oracle Instant Clients (kein separater Client benötigt) 1.12a - Oracle CPU July 2006 Oracle Instant Client DLLs aktualisiert 1.21 - Support für multithreading * Checkpwd unterstützt nun multithreading und is bis zu 2.5 Mal schneller als 1.12 * Zusätzliche Optimierungen 1.22 - Optimierungen (nochmals 30% schneller) * OpenSSL optimiert * Dictionary Sortierreihenfolge optimiert * Oracle Instant Client aktualisiert 1.23 - Release wegen bevorstehender Gesetzesänderung §202c StGB - Keine Anzeige der Passworte Referenzen Lizenz Dieses Produkt beinhaltet Software, die entwickelt wurde von: OpenSSL Project for use in the OpenSSL Toolkit. (http://www.openssl.org/). In checkpwd.txt erfahren Sie mehr über "openssl license". © 2006-2008 by Red-Database-Security GmbH - last update 08-may-2008 |
Bevorstehende Ereignisse & Security Konferenzen |