|
|||||||||||
ПредисловиеВо многих организациях халатно относятся к безопасности и правам доступа к данным, в связи с чем практически любой желающий (внутри компании) может получить несанкционированный доступ к БД, что способствовует возможной порче или утечке важной информации. Публикация призывает обратить внимание разработчиков систем хранения данных к безопасности доступа к данным и устойчивости этих систем к утечкам информации. А также призывает обратить внимание администраторов баз данных на сложность паролей пользователей и способы их авторизации в системе. Хранение паролей в 1СПароль в 1С хранится в виде хэша, сформированного из строки пароля по алгоритму SHA-1 и упакованного по алгоритму base64. Вид сохраняемой строки: "W6ph5Mm5Pz8GgiULbPgzG37mj9g=,ESu3kTBHkd3PaS4p/VzxSbNf6jc=". Алгоритм получения пароля
Хэш пароля можно получить с помощью кода: СохраняемоеЗначение = ПользовательИнформационнойБазы.СохраняемоеЗначениеПароля; Хэш = СтрЗаменить(Base64Значение(Лев(СохраняемоеЗначение, Найти(СохраняемоеЗначение, ",") - 1)), " ", ""); Пользователь с административным доступом в 1С может получить хэш пароля с помощью вложенной обработки "Подбор паролей пользователей": Пользователь с доступом к файлу данных 1С (1Cv8.1CD) может получить хэш пароля с помощью программы Tool_1CD ХЕШ пароля в программе Тоод_1СD В клиент-серверной версии пользователь с доступом к базе SQL может получить хэш пароля с помощью программы CF & SQL Формирование и выполнение запроса к таблице v8users Получение хеша в окне просмотра данных пользователя Для подбора пароля необходимо запустить обработку подбора в любой конфигурации, занести полученный ранее хеш в поле "Хеш(Base64)", и выполнить команду подбора: Получение пароля с помощью обработки "Подбор паролей", запущенной в пустой конфигурации 1С Кроме этого получить пароль по хешу можно попытаться с помощью интернет-сервиса восстановления пароля
Все комментарии |
|||||||||||