oracle取密码管理,oracle密码安全管理

密码复杂度检查

查询dba_profiles视图，可以查询目前所使用的密码函数。

可以看到默认的profil没有指定verify_function；基本都是UNLIMITED,而MONITORING_PROFILE 是系统自带的，基本都是default;

手动创建密码验证函数，或者执行$ORACLE_HOME/rdbms/admin/utlpwdmg.sql脚本来create verify_function。不过需要注意的一点是，utlpwdmg.sql脚本中包含有ALTER 语句，如果你不想按照脚本上的设定，可以有两点解决方法：

一、vi utlpwdmg.sql脚本，将最末的

ALTER PROFILE DEFAULT LIMIT

PASSWORD_LIFE_TIME 60

PASSWORD_GRACE_TIME 10

PASSWORD_REUSE_TIME 1800

PASSWORD_REUSE_MAX UNLIMITED

FAILED_LOGIN_ATTEMPTS 3

PASSWORD_LOCK_TIME 1/1440

PASSWORD_VERIFY_FUNCTION verify_function;

那些值改成你想要的

注意，其实最后那句才是我们想要的。

二、手动复制&粘贴执行utlpwdmg.sql脚本中前一部分内容(虽然前面占了大部分)，然后手动执行 ALTER PROFILE DEFAULT LIMIT PASSWORD_VERIFY_FUNCTION verify_function; 如果是其他profile的话，比如sox，则 ALTER PROFILE sox LIMIT PASSWORD_VERIFY_FUNCTION verify_function;

查看当前profile设置

select * from dba_profiles b where b.resource_type ='PASSWORD';

各参数的解释

1.FAILED_LOGIN_ATTEMPTS: 用户在登录尝试失败n次后被锁定。

2.PASSWORD_LOCK_TIME: 登录尝试失败达到指定次数，用户锁定时长，以“Day”为单位。

3.PASSWORD_LIFE_TIME: 用户口令的生命周期。

4.PASSWORD_GRACE_TIME: 表示用户口令使用时间超过其生命周期后，可以延续使用的天数，并且可延续时间内登录会有相应口令即将过期的提示。默认值unlimited将引发一个数据库警告，但是允许用户继续连接。

5.PASSWORD_REUSE_TIME: 指定了口令不能重用前的天数。

6.PASSWORD_REUSE_MAX: 在达到PASSWORD_REUSE_TIME指定时间后，要再次使用同一口令前必须改变的次数。

如：PASSWORD_REUSE_TIME=30，PASSWORD_REUSE_MAX=10，用户可以在30天以后重用该口令，要求口令必须被改变超过10次。

7.PASSWORD_VERIFY_FUNCTION: Oracle允许将复杂的PL/SQL密码验证脚本做为参数传递给PASSWORD_VERIFY_FUNCTION。并且其自己提供了一个默认的脚本，但是用户可以创建自己的验证规则或使用第三方软件验证。

8.Password Verify Function：

When you create a password verify function for verifying the user password, this function can verify the following password characteristics:

1.The minimum number of characters for the password.

2.The characters that the password must contain, such as when a password should contain a specific number of numeric, alphabetic or special characters.

3.Whether or not the password can be the same as the username.Whether or not the new password can be similar to the previous password.

密码长度：大于4位，必须包含数字，字母，字符

密码允许包含的字符

数字：0123456789

字母：abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ

符号：!"#$%&()``*+,-/:;<=>?_

修改一些参数：

密码试错后用户锁定时间1小时；

ALTER PROFILE DEFAULT LIMIT PASSWORD_LOCK_TIME 1/24;

ALTER PROFILE DEFAULT LIMIT PASSWORD_LIFE_TIME 90;

附：

取消Oracle密码复杂度检查：

alter profile default limit password_verify_function null;

制定密码复杂度检查用的函数

alter profile default limit password_verify_function VERIFY_FUNCTION;

动态地使用alter system或使用初始化参数resource_limit使资源限制生效。该改变对密码资源无效，密码资源总是可用。

alter system set resource_limit = true;

Oracle 11g数据库密码区分大小写的设置 → SEC_CASE_SENSITIVE_LOGON = TRUE.