Реализация Средств защиты Пароля

Рубрика: Администрирование Пользовательской Безопасности

Управление паролями Oracle реализуется с помощью профилей пользователей. Профили могут обеспечить множество стандартных средств защиты.

Реализация Средств защиты Пароля

Отметьте: не используйте профили, которые приводят к тому, что могут истечь сроки паролей и заблокироваться учетные записи пользователей SYS, SYSMAN и DBSNMP.

Account locking: Включает автоматическую блокировку учетных записей на указанный промежуток, когда пользователи не могут войти в систему указанное количество попыток

  • FAILED_LOGIN_ATTEMPTS: Определяет число безуспешных попыток входа в систему перед блокировкой учетной записи

  • PASSWORD_LOCK_TIME: Определяет число дней, в течение которых учетная запись блокируется после указанного количества неудавшихся попыток входа в систему

Password aging and expiration: Позволяет определять время жизни пользовательских паролей, после которого пароли истекают и должны быть изменены

  • PASSWORD_LIFE_TIME: Определяет время жизни пароля в днях, после которых истекает пароль

  • PASSWORD_GRACE_TIME: Определяет период отсрочки в днях для того, чтобы изменить пароль после первого успешного входа в систему, когда пароль уже истек

Отметьте: Истечение срока паролей и блокировка учетных записей SYS, SYSMAN и DBSNMP воспрепятствуют тому, чтобы Enterprise Manager функционировал должным образом. Приложения должны отслеживать предупреждение “password expired” и обрабатывать изменение пароля; иначе, период отсрочки может истечь, и пользователь будет заблокирован, не зная причину.

Password history: Проверяет новый пароль, чтобы гарантировать, что пароль не использовался указанное количество времени, или что он не совпадает с одним из заданного количества предыдущих паролей. Эти проверки могут быть реализованы при использовании одного из следующих способов:

  • PASSWORD_REUSE_TIME: Определяет, что пользователь не может снова использовать пароль в течении заданного числа дней

  • PASSWORD_REUSE_MAX: Определяет число изменений пароля, которые требуются прежде, чем текущий пароль может быть снова использован

Вспомните, что значения параметров профиля или установлены или унаследованы от профиля DEFAULT.

Если у обоих параметров истории пароля установлено значение UNLIMITED, Oracle Database игнорирует оба параметра. Пользователь может снова использовать любой пароль через любой промежуток времени, что не есть хорошо из соображений безопасности.

Если оба параметра установлены, повторное использование пароля позволяется — но только после удовлетворения обоим условиям. Пользователь должен изменить пароль указанное число раз, а также должно пройти указанное количество дней с момента последнего использования данного пароля.

Например, у профиля пользователя ALFRED параметр PASSWORD_REUSE_MAX равен 10, а параметр PASSWORD_REUSE_TIME равен 30. Пользователь ALFRED не может снова использовать пароль, пока он не поменяет пароль 10 раз и пока не пройдет 30 дней с момента последнего использования пароля.

Если один параметр равен числу, а другой параметр установлен в UNLIMITED, пользователь никогда не может снова использовать пароль.

Password complexity verification: Осуществляет проверку сложности пароля, чтобы убедиться, что он удовлетворяет определенным правилам. Проверка должна гарантировать, что пароль достаточно сложен, чтобы обеспечить защиту против злоумышленников, которые могут попытаться войти в систему, угадав пароль.

Параметр PASSWORD_VERIFY_FUNCTION определяет имя функции PL/SQL, которая выполняет проверку сложности пароля перед тем, как можно будет его использовать. Функции проверки пароля должны принадлежать пользователю SYS и должны возвращать Булево значение (ИСТИНА или ЛОЖЬ). Образец функции проверки пароля предоставлен в сценарии utlpwdmg.sql, который можно найти в в следующих каталогах:

  • Платформы Unix и Linux: $ORACLE_HOME/rdbms/admin

  • Платформы Windows: %ORACLE_HOME %\rdbms\admin

Далее: Политика FGA - Контрольный Столбец

Смотрите также
Комментарии
Написать

(обязательно)

(обязательно)

Это не спам (обязательно)