[DBMS/옵션관리] 패스워드 확인함수의 설정 및 적용 (D-19)

패스워드 확인함수의 설정 및 적용

 

취약점 개요

■ 위험도
- 중

■ 점검 목적
- PASSWORD_VERIFY_FUNCTION 값을 설정하여 기본적인 패스워드 정책을 적용하고 이를 통해 로그인에 대한 보안성을 강화하여 저장중인 데이터의 안전성을 높이고자 함

■ 보안 위협
- PASSWORD_VERIFY_FUNCTION 값이 설정되어 있지 않을 경우. 비인가자가 각종 공격(무작위 대입공격, 사전 대입 공격 등)을 통해 취약한 패스워드가 설정된 사용자 계정의 패스워드를 획득하여 획득한 사용자 계정 권한을 통해 저장되어 있는 데이터의 유출, 수정, 삭제 등의 위험이 발생할 수 있음

점검 및 조치 방법

■ 판단 기준
- 양호 : 패스워드 검증 함수로 검증이 진행되는 경우
- 취약 : 패스워드 검증 함수가 설정되지 않은 경우

■ 조치 방법
- 패스워드 검증 함수(PASSWORD_VERIFY_FUNCTION) 사용 설정

◆ Oracle
Step 1) 설정 확인 (SQL*PLUS)

Step 2) 패스워드 복잡도를 강제하는 패스워드 검증 함수를 생성, 사용하여야 함

◆ Altibase
Step 1) 다음 명령어를 통해 PASSWORD_VERIFY_FUNCTION 값을 확인 (값이 없을 경우 패스워드 유효성 검사 함수가 설정되어 있지 않음)

Step 2) PASSWORD_VERIFY_FUNCTION 프로퍼티 설정

 

◆ Tibero
Step 1) 사용자별 패스워드 프로파일 적용 여부 확인

Step 2) 설정되어 있을 경우 프로파일 설정 내용 확인

Step 3) 설정되어 있지 않을 경우 프로파일 생성시(또는 수정 시 alter profile) 패스워드 정책 설정

■ 용어 설명 / 팁
PASSWORD_VERIFY_FUNCTION 값 : 이 프로파일에 명시된 사용자가 데이터베이스에 로그인 할 때 패스워드 확인을 위해 PL/SQL 함수가 사용되도록 명시하는 프로파일