大约一个月前，我被问及密码散列算法，提问者参加了SEC105 TechEd会议（SAP运行SAP：如何攻击95%的SAP ABAP系统以及如何保护）。

在回答之前，我决定先看一下SAP note 1458262（ABAP：密码散列算法的建议设置）。

我做了什么

首先我看了客户001中的USR02表：

用于测试目的，云店，我禁用了列表中最后一个用户ID的密码：

然后我执行了report CLEANUP\u password\u HASH\u VALUES:

报告执行后的USR02:

在为第三个用户（从列表底部到顶部）设置初始密码后：

在用户更改密码后：

结论

我的实验是在独立的ABAP系统中进行。对于属于CUA的系统，需要额外的步骤。

该报告非常有用，使您的系统更安全–请注意，该报告建议采取一项措施：强制使用更强大的密码。这将导致密码更改（根据SAP note 495911，SM50登录跟踪将显示幕后情况）。

执行报告后，您可以在USR02中找到至少3个"类别：

BCODE=00000000000000000

CODVN=X

PASSCODE=00000000000000000000000000000

PWDSALTEDHASH=blank

BCODE和PASSCODE如上

BCODE如上，PWDSALTEDHASH blank和CODVN=F.

对于最后一种情况，代码版本F表示：

次优，发现具有7.00/7.01哈希值的记录

因此哈希密码已经存在。

重要的是要认识到，报表只删除现有（重复较弱的）哈希，而不能创建新的哈希，为此，报告必须知道密码。

如果某些用户的"最强"密码散列是密码，则这是因为输入密码的时间，系统会创建这些密码。

如果您只希望使用pwdsaltedhash密码，然后系统管理员必须为所有codvn=F的用户提供新密码。

由于密码未知，因此没有自动更改密码。

参考

SEC105–SAP运行SAP：如何入侵95%的SAP ABAP系统以及如何保护

SAP note 2467–密码规则和防止不正确登录

SAP note495911–登录问题跟踪分析

SAP note 862989–自SAP NetWeaver 2004s（NW ABAP 7.0）起的新密码规则

SAP note 1023437–ABAP syst:向下不兼容密码（自NW2004s起）

SAP note 1237762–ABAP系统：防止密码哈希攻击

SAP note 1458262–ABAP:建议的密码设置哈希算法

好建议，南京大数据，谢谢分享，请问对现有密码或单点登录有没有影响？

谢谢

嗨，皮乔，

请阅读附注1458262。这不代表SSO的问题，也不代表现有密码的问题。

干杯，

Cris

我在基于HANA的7.40系统上运行了报告，但它建议将CODVN值从F更改为H。是否有其他版本的程序可以正确地用于7.40？

嗨，维努，

目前的报告到底出了什么问题？

谢谢，物联网工程，

克里斯

嗨，克里斯蒂亚诺，

谢谢你的快速回复。报告没有出错。我们正在寻找将CODVN标志从F（USR01上现有）更新为H。运行此报告发现它们是次优的，但不是关键的。

想知道是否有一种方法（或将此报告放在一边）可以识别"F"，并提供一种转换为"H"的方法。

嗨，大数据产品，文尼，

只需更改密码即可。您可以使用使用"F"的情况进行测试。没有自动工具来完成这项工作，因为密码未知。

干杯，

克里斯

明白。我们正试图以一种非混乱的方式与RFC用户完成这一点。

，淘客基地