数据库

位置:IT落伍者 >> 数据库 >> 浏览文章

Oracle9i密码策略--密码重用规则
发布日期:2018年04月23日
 
Oracle9i密码策略--密码重用规则

Oracle通过PROFILE中的PASSWORD_REUSE_TIME和PASSWORD_REUSE_MAX来确定密码是否可以重用以及密码重用的限制

但是经过测试发现Oracle的ADMINISTRATOR GUIDE里面的描述是错误的我查阅了一下METALINKMETALINK上的一篇文章虽然对这两个参数进行了比较详细的说明但是仍然有一部分描述是错误

PASSWORD_REUSE_TIME是重用密码的最小时间间隔单位是天可以给出整数或分数/表示分钟(出于效率的考虑oracle不会每分钟都去进行检查一般来说分钟左右的误差因此如果这个数小于/则没有多大的意义)

PASSWORD_REUSE_MAX是重用密码前更换密码的最小次数这两项本身没有任何异议关键是两项如何配合使用可以分为种情况进行描述

PASSWORD_REUSE_MAX和PASSWORD_REUSE_TIME都为UNLIMITED

这时密码可以任意重用没有限制这也是DEFAULT profile的默认值当这两项都为UNLIMITED时认为这两个参数没有使用因此密码重用没有任何限制

SQL> create profile prof_test limit password_reuse_max unlimited password_reuse_time unlimited; 配置文件已创建 SQL> create user test identified by test profile prof_test; 用户已创建 SQL> alter user test identified by test; 用户已更改 SQL> alter user test identified by test; 用户已更改

PASSWORD_REUSE_MAX和PASSWORD_REUSE_TIME中有一个为UNLIMITED另一个为其他值

这个时候你的密码将永远无法重用

看看administrator guide上是怎么说的

Use the CREATE PROFILE statement to specify a time interval during which users cannot reuse a password In the following statement a profile is defined where the PASSWORD_REUSE_TIME clause specifies that the user cannot reuse the password for days CREATE PROFILE prof LIMIT PASSWORD_REUSE_TIME PASSWORD_REUSE_MAX UNLIMITED; In the next statement the PASSWORD_REUSE_MAX clause specifies that the number of password changes the user must make before the current password can be used again is three CREATE PROFILE prof LIMIT PASSWORD_REUSE_MAX PASSWORD_REUSE_TIME UNLIMITED; Note: If you specify PASSWORD_REUSE_TIME or PASSWORD_REUSE_MAX you must set the other to UNLIMITED or not specify it at all

文档告诉我们只使用其中一个把另外一个设置为UNLIMITED但是这是不正确的这样会导致你的密码永远无法重用

SQL> alter profile prof_test limit password_reuse_max ; 配置文件已更改 SQL> select resource_name limit from dba_profiles where profile = PROF_TEST and resource_type = PASSWORD; RESOURCE_NAMELIMIT FAILED_LOGIN_ATTEMPTSDEFAULT PASSWORD_LIFE_TIMEDEFAULT PASSWORD_REUSE_TIMEUNLIMITED PASSWORD_REUSE_MAX PASSWORD_VERIFY_FUNCTIONDEFAULT PASSWORD_LOCK_TIMEDEFAULT PASSWORD_GRACE_TIMEDEFAULT 已选择 SQL> alter user test identified by test; 用户已更改 SQL> alter user test identified by test; alter user test identified by test * ERROR 位于第 行: ORA: 无法重新使用口令 SQL> alter user test identified by t; 用户已更改 SQL> alter user test identified by t; 用户已更改 SQL> alter user test identified by t; 用户已更改 SQL> alter user test identified by test; alter user test identified by test * ERROR 位于第 行: ORA: 无法重新使用口令

修改profile后只对test用户的后续操作有效第一次可以修改密码为test是因为oracle没有记录初始密码而第二次修改就会失败因为密码已经不能重用了

根据文档我们只需要修改密码三次就可以重用但是测试的结果确是密码无法在重用

SQL> alter profile prof_test limit password_reuse_max unlimited; 配置文件已更改 SQL> alter user test identified by test; 用户已更改 SQL> alter profile prof_test limit password_reuse_time /; 配置文件已更改 SQL> select resource_name limit from dba_profiles where profile = PROF_TEST and resource_type = PASSWORD; RESOURCE_NAMELIMIT FAILED_LOGIN_ATTEMPTSDEFAULT PASSWORD_LIFE_TIMEDEFAULT PASSWORD_REUSE_TIME PASSWORD_REUSE_MAXUNLIMITED PASSWORD_VERIFY_FUNCTIONDEFAULT PASSWORD_LOCK_TIMEDEFAULT PASSWORD_GRACE_TIMEDEFAULT 已选择 SQL> set time on :: SQL> alter user test identified by test; alter user test identified by test * ERROR 位于第 行: ORA: 无法重新使用口令 :: SQL> :: SQL> :: SQL> alter user test identified by test; alter user test identified by test * ERROR 位于第 行: ORA: 无法重新使用口令 :: SQL> :: SQL> alter user test identified by test; alter user test identified by test * ERROR 位于第 行: ORA: 无法重新使用口令 :: SQL> set time off

修改PASSWORD_REUSE_TIME为/也就是说大概分钟的时间考虑的oracle的误差我们在分钟和分钟后分别进行测试结果发现密码仍然无法重用

PASSWORD_REUSE_MAX和PASSWORD_REUSE_TIME都不为UNLIMITED

这时只需满足任意一个条件就可以重用密码

Metalink上的文章在这里描述有误密码重用不需要同时满足两个条件只要满足一个既可

SQL> alter profile prof_test limit password_reuse_time unlimited; 配置文件已更改 SQL> alter user test identified by test; 用户已更改 SQL> alter profile prof_test limit password_reuse_max password_reuse_time /; 配置文件已更改 SQL> set time on :: SQL> alter user test identified by test; 用户已更改 :: SQL> alter user test identified by test; alter user test identified by test * ERROR 位于第 行: ORA: 无法重新使用口令 :: SQL> alter user test identified by t; 用户已更改 :: SQL> alter user test identified by t; 用户已更改 :: SQL> alter user test identified by t; 用户已更改 :: SQL> alter user test identified by test; 用户已更改 :: SQL> :: SQL> alter user test identified by test; alter user test identified by test * ERROR 位于第 行: ORA: 无法重新使用口令 :: SQL> :: SQL> :: SQL> alter user test identified by test; 用户已更改

第一次重用test密码才过了分钟左右而在第二次重用test密码之前并没有使用过其他密码可见只需满足PASSWORD_REUSE_MAX和PASSWORD_REUSE_TIME中的任意一个条件就可以

上一篇:Oracle中创建同义词

下一篇:旧数据文件,旧控制文件,新日志,怎样恢复?