[DBMS/계정관리] 패스워드 재사용에 대한 제약의 설정 (D-12)

 

취약점 개요

■ 위험도
- 중

■ 점검 목적
- 패스워드 재사용 제약 설정 적용 여부를 점검하여 패스워드 변경 시 이전 패스워드 재사용을 제약하여 형식적인 패스워드 변경을 원천적으로 차단하기 위함

■ 보안 위협
- 패스워드 재사용 제약 설정이 적용되어 있지 않을 경우 패스워드 변경 전 사용했던 패스워드를 재사용함으로써 비인가자의 계정 패스워드 추측 공격에 대한 시간을 더 많이 허용하여 패스워드 유출 위험이 증가함

점검 및 조치 방법

■ 판단 기준
- 양호: PASSWORD_REUSE_TIME, PASSWORD_REUSE_MAX 파라미터 설정이 적용된 경우
- 취약: PASSWORD_REUSE_TIME, PASSWORD_REUSE_MAX 파라미터 설정이 적용되지 않은 경우

■ 조치 방법
PASSWORD_REUSE_TIME, PASSWORD_REUSE_MAX 파라미터 설정

■ Oracle
1. 설정확인(SQL*Plus)
-- Check for both reuse max and reuse time not set: select profile from DBA_PROFILES where (resource_name='PASSWORD_REUSE_MAX' and limit in ('UNLIMITED','NULL')) or profile in (select profile from DBA_PROFILES where resource_name='PASSWORD_REUSE_TIME') and limit in ('UNLIMITED','NULL');
-- Check for reuse max with value that is less than allowed minimum select profile from DBA_PROFILES where resource_name='PASSWORD_REUSE_MAX' and limit not in ('UNLIMITED','NULL') and limit < '10';
-- Check for reuse time that is less than allowed minimum select profile from DBA_PROFILES where resource_name='PASSWORD_REUSE_TIME' and limit not in ('UNLIMITED','NULL')and limit < '365';

2. PASSWORD_REUSE_TIME 및 프로파일 파라미터 수정
SQL> alter profile default limit password_reuse_time 365 password_reuse_max 10; SQL> alter profile [profile name] limit password_reuse_time default password_reuse_max default;