大约一个月前,我被问及密码散列算法,提问者参加了SEC105 TechEd会议(SAP运行SAP:如何攻击95%的SAP ABAP系统以及如何保护)。
在回答之前,我决定先看一下SAP note 1458262(ABAP:密码散列算法的建议设置)。
我做了什么
首先我看了客户001中的USR02表:
用于测试目的,云店,我禁用了列表中最后一个用户ID的密码:
然后我执行了report CLEANUP\u password\u HASH\u VALUES:
报告执行后的USR02:
在为第三个用户(从列表底部到顶部)设置初始密码后:
在用户更改密码后:
结论
我的实验是在独立的ABAP系统中进行。对于属于CUA的系统,需要额外的步骤。
该报告非常有用,使您的系统更安全–请注意,该报告建议采取一项措施:强制使用更强大的密码。这将导致密码更改(根据SAP note 495911,SM50登录跟踪将显示幕后情况)。
执行报告后,您可以在USR02中找到至少3个"类别:
BCODE=00000000000000000
CODVN=X
PASSCODE=00000000000000000000000000000
PWDSALTEDHASH=blank
BCODE和PASSCODE如上
BCODE如上,PWDSALTEDHASH blank和CODVN=F.
对于最后一种情况,代码版本F表示:
次优,发现具有7.00/7.01哈希值的记录
因此哈希密码已经存在。
重要的是要认识到,报表只删除现有(重复较弱的)哈希,而不能创建新的哈希,为此,报告必须知道密码。
如果某些用户的"最强"密码散列是密码,则这是因为输入密码的时间,系统会创建这些密码。
如果您只希望使用pwdsaltedhash密码,然后系统管理员必须为所有codvn=F的用户提供新密码。
由于密码未知,因此没有自动更改密码。
参考
SEC105–SAP运行SAP:如何入侵95%的SAP ABAP系统以及如何保护
SAP note 2467–密码规则和防止不正确登录
SAP note495911–登录问题跟踪分析
SAP note 862989–自SAP NetWeaver 2004s(NW ABAP 7.0)起的新密码规则
SAP note 1023437–ABAP syst:向下不兼容密码(自NW2004s起)
SAP note 1237762–ABAP系统:防止密码哈希攻击
SAP note 1458262–ABAP:建议的密码设置哈希算法
好建议,南京大数据,谢谢分享,请问对现有密码或单点登录有没有影响?
谢谢
嗨,皮乔,
请阅读附注1458262。这不代表SSO的问题,也不代表现有密码的问题。
干杯,
Cris
我在基于HANA的7.40系统上运行了报告,但它建议将CODVN值从F更改为H。是否有其他版本的程序可以正确地用于7.40?
嗨,维努,
目前的报告到底出了什么问题?
谢谢,物联网工程,
克里斯
嗨,克里斯蒂亚诺,
谢谢你的快速回复。报告没有出错。我们正在寻找将CODVN标志从F(USR01上现有)更新为H。运行此报告发现它们是次优的,但不是关键的。
想知道是否有一种方法(或将此报告放在一边)可以识别"F",并提供一种转换为"H"的方法。
嗨,大数据产品,文尼,
只需更改密码即可。您可以使用使用"F"的情况进行测试。没有自动工具来完成这项工作,因为密码未知。
干杯,
克里斯
明白。我们正试图以一种非混乱的方式与RFC用户完成这一点。
,淘客基地