Grunderna för lösenordsautentisering i Oracle 12c - dummies

Lösenordsskydd är det vanligaste sättet att skydda data i datorsystem, inklusive Oracle 12c. Denna sanning gäller för bankautomater, webbplatser och naturligtvis din Oracle-databas. Lösenordsskydd hjälper till att skapa identitet. Att klara denna verifikation är det första steget i att visa att du är en betrodd medlem av klubben.

Nu när du skapar databasen:

• är standardkonton låsta.

• SYS och SYSTEM lösenord väljs och ställs in under databasskapande.

• Lösenordsäkerhet förbättras genom att tvinga komplexa lösenord.

Med dessa åtgärder är databasen ganska säker så snart den är skapad.

Så här hanterar du lösenordsäkerhet med profiler i Oracle 12c

A lösenordsprofil är en mekanism i databasen som tvingar en användare att följa riktlinjer när man skapar eller byter lösenord. Riktlinjerna hjälper till att ge starkare säkerhet i systemet genom att inte tillåta svaga lösenord.

Följande är dåliga idéer för att skapa lösenord, och varken du eller dina användare ska göra något av dessa saker. Annars öppnar du dörren till oinvigade gäster. Så överväga inte

• Gör lösenordet samma som användarnamnet

• Gör lösenord ditt lösenord

• Återanvänd samma lösenord när systemet ber dig ändra

Kom ihåg komplexet lösenord är ibland obekvämt, men accepterar det som en del av ditt ansvar. Annars kan du vid något tillfälle ta skulden för att någon gissar ditt lösenord.

Lösenordsprofiler hindrar var och en av problemen i föregående lista. Lösenordsprofiler är ett databasadministratörsverktyg (DBA), och de låter dig göra följande:

• Begränsa antalet gånger ett lösenord kan återanvändas. Om du vill ge användarna en paus, låt dem återanvända lösenordet två gånger - men det är det.

• Begränsa tiden innan ett lösenord kan återanvändas. Kanske låter du dem återanvända lösenordet, men de måste vänta 90 dagar att göra det.

• Gränsen misslyckades med inloggningsförsök. Om detta nummer är uppfyllt kan du låsa kontot tills en säkerhetsadministratör låser upp det eller under en viss tid.

• Tilldela lösenord för lösenord. Om någon (eller något sak ) når gränsen som du ställt in för inställningen för felaktigt inloggningsförsök, kan du tvinga en väntetid innan användaren kan försöka igen. Den här inställningen kan hjälpa till med brute force -attacker, där en maskin bombar din databas med ett lösenordskrävande.

• Ge lösenord en tidsgräns (eller i Oracle-terminologi, en begränsad livstid). När denna livstid är uppfylld, frågar systemet användaren att ändra sitt lösenord.

• Har en lösenordsgrace tid . När livstiden uppnås, uppmanas användaren att "Du har X antal dagar för att ändra ditt lösenord. "

• Kontrollera lösenordskomplexitet. En verifieringsfunktion

  • Se till att lösenordet och användarnamnet är olika.

  • Se till att det nya lösenordet skiljer sig från föregående med tre tecken.

  • Se till att lösenordet består av alfabetiska, numeriska och specialtecken.

Du kan skapa din egen lösenordskontrollfunktion och bifoga den till en profil. En lösenordskontrollfunktion är ett program skrivet i PL / SQL (Procedural Language / Structured Query Language) som granskar lösenord när de väljs och accepterar eller avvisar dem baserat på kriterier.

Om du har speciella lösenordskrav kan du skriva ditt eget lösenordskontrollfunktion och tilldela det till lösenordsprofilen med attributet PASSWORD_VERIFY_FUNCTION i profilen.

Oracle levererar en standard lösenordskontrollfunktion med databasen. Som standard garanterar det följande:

• Lösenordet är inte detsamma som användarnamnet (framåt och bakåt).

• Lösenordet är mer än sju tecken.

• Lösenordet är inte detsamma som servernamnet.

• Lösenordet är inte ett vanligt dåligt val, till exempel welcome1, lösenord, databas, abcdefg.

Så här använder du Oracles tillhandahållna lösenordskontrollfunktion, följ dessa steg:

1. Logga in på databasen med SQL * Plus som SYS.

2. Kör följande:

   $ ORACLE_HOME / rdbms / admin / utlpwdmg. sql
   

   Detta steg skapar standard lösenordskontrollfunktionen och tilldelar den till DEFAULT-profilen. Om du är bekväm med PL / SQL kan du till och med ta Oracles exempelfil och ändra den så att den passar dina behov.

Så här skapar du en lösenordsprofil i Oracle 12c

För att skapa en lösenordsprofil, följ dessa steg:

1. Logga in på databasen via SQL * Plus som SYSTEM.

2. Skapa profilen och begränsa misslyckade inloggningsförsök, lösenordslåsningstid och livslängd för lösenord:

   I det här exemplet är misslyckade inloggningsförsök begränsade till tre, lösenordslåsningstiden är begränsad till 15 minuter och livslängd för lösenord är begränsad till 90 dagar.

   Du ser detta:

   Profil skapad.
   

   Lösenordslåsningstiden i föregående kod är 1/96. I Oracle-tiden är det 15 minuter. Hela numret 1 är 1 dag och 1/24 är en timme. Dela 1/24 av 4 och du får 1/96 (eller 15 minuter).

3. Tilldela rapportskrivarens användarprofil till en användare:

   I det här exemplet tilldelas den nya profilen till HR-användaren. Du ser detta i gengäld:

Användaren har ändrats.

DEFAULT-profilen i Oracle 12c

Vad händer om du inte ger användarna en profil? I så fall har alla användare DEFAULT-profilen.

Som standard i Oracle 12c begränsar DEFAULT-profilen följande:

• FAILED_LOGIN_ATTEMPT = 10

• PASSWORD_GRACE_TIME 7 (DAYS)

• PASSWORD_LIFE_TIME 180 (DAYS)

• PASSWORD_LOCK_TIME 1 (DAG)

• PASSWORD_REUSE_MAX UNLIMITED

• PASSWORD_VERIFY_FUNCTION NULL (ingen komplicerad tillämpning)

• PASSWORD_REUSE_TIME UNLIMITED

Du kan redigera din profil eller DEFAULT-profilen.Om du till exempel vill ändra inställningen för misslyckade inloggningsförsök till 3 i DEFAULT-profilen skriver du följande:

Du ser detta:

Ändrad profil.