在 Oracle11g之前,我们需要手工来完成这样的工作,大概步骤是:1. 创建一张自定义的表,保存下常用的系统用户以及默认密码的HASH值。2. 将系统中的用户密码HASH值与该表中的HASH值比较,如果相同,则表明还在使用默认值。
注意:在数据字典中存储的密码是被HASH算法加密过的,加密后的值不但跟密码本身有关还跟用户名有关,也就是,如果是不相同的用户名那么即使是完全相同的密码,加密后的HASH值也是不一样的。这样保证了每一个用户的每一个密码都有自己独一无二的HASH值。
在Oracle 11g之前,加密后的密码可以从DBA_USERS数据字典的PASSWORD字段中获得,因此可以通过这个字段中存储的值来做是否是默认值的检查。但是在11g中,PASSWORD字段却不再显示密码的内容了。先看一下文档中对这个字段的描述:
Indicates whether the user is authenticated by OID (GLOBAL) or externally authenticated (EXTERNAL); NULL otherwise
SQL> SELECT username,decode(password,NULL,'NULL',password) password FROM dba_users;
USERNAME PASSWORD------------------------------ ------------------------------MGMT_VIEW NULLSYS NULLSYSTEM NULLDBSNMP NULLSNPM NULLSYSMAN NULLSNPW NULLSCOTT NULLKAMUS NULLOUTLN NULLWMSYS NULLDIP NULLORACLE_OCM NULLTSMSYS NULL
14 rows selected
可以看到PASSWORD字段已经不再显示密码内容,全部都为空。
那么,如果再去检查这些用户是否还在使用默认的密码呢?方法一:从SYS.USER$基表中检查,在基表的password字段中仍然可以查到HASH后的值。
SQL> SELECT name,password FROM user$ WHERE name='SCOTT';
NAME PASSWORD------------------------------ ------------------------------SCOTT F894844C34402B67
方法二:这是推荐的方法,最简单的方法,11g中可以使用的方法,11g提供了新的DBA_USERS_WITH_DEFPWD视图,该视图中包含了所有还在使用默认密码的用户名。
SQL> ALTER user scott IDENTIFIED BY tiger; User altered. SQL> SELECT * FROM DBA_USERS_WITH_DEFPWD WHERE username='SCOTT'; USERNAME------------------------------SCOTT SQL> ALTER user scott IDENTIFIED BY tiger1; User altered. SQL> SELECT * FROM DBA_USERS_WITH_DEFPWD WHERE username='SCOTT'; no rows selectedOracle对于安全性的支持力求做到业界领先,Oracle始终在每个细节上进步着。摘自:http://www.dbform.com/html/2009/673.html