Door de introductie van de AVG hebben allerlei aspecten van (database) security weer helemaal de aandacht. Een van de eerste zaken waar dan aan gedacht wordt is password management: het garanderen van voldoende complexe passwords, het forceren van frequente aanpassing, het voorkomen van hergebruik van passwords. Dit wordt gedaan met gebruik van database profiles.
Met profiles is het mogelijk een aantal wachtwoordinstellingen te definiëren zoals de maximale geldigheidsduur en het maximaal aantal foutieve inlogpogingen voordat een schema geblokkeerd wordt.
Oracle definieert het profile DEFAULT dat standaard aan alle database gebruikers wordt toegekend. De beperking in dit standaard profile zijn niet erg strikt. Op het gebied van password management ziet het DEFAULT profile er als volgt uit:
Oracle kan de configuratie van dit profile bij een update wijzigen en alleen al daarom moet er niet vertrouwd worden op dit profile. Daarnaast heeft iedere organisatie zijn eigen password policies gedefinieerd. Dit maakt dus noodzakelijk een eigen profile te maken. Een andere reden is dat het onwaarschijnlijk is dat slechts één profile geschikt is voor de verschillende schema’s. Je kunt het als organisatie wenselijk vindt dat schema’s voor fysieke gebruikers na een bepaald aantal inlogpogingen geblokkeerd worden bijvoorbeeld. Voor de schema’s zoals SYSTEM zul je dat waarschijnlijk juist niet willen. Het profile DEFAULT standaard toegepast op alle schema’s en daardoor zal het profile zo zijn aangepast dat Expire ‘(in days)’ (password life time) is ingesteld op de waarde UNLIMITED.
Om aan zowel de gewenste veiligheidseisen als aan de wisselende behoefte te voorzien hebben de gemeente Oss samen met Axis into ICT drie generieke profiles onderscheiden:
- Een profile voor schema’s van Oracle zelf: (ORA_PROFILE)
- Een profile voor schema’s behorende bij applicaties (‘service accounts’): APP_PROFILE)
- Een profile voor schema’s van eindgebruikers: (USER_PROFILE)
Ieder van deze profiles heeft zijn eigen settings. De meest in het oog springende zijn:
| ORA_PROFILE | APP_PROFILE | USER_PROFILE | |
| Password life time | oneindig | oneindig | 6 maanden |
| Password grace time | n/a | n/a | 10 dagen |
| Password complexity | Zeer complex | Zeer complex | Redelijk complex |
| Failed login attempts | 10 | 10 | 10 |
| Failed lock time | 10 minuten | 10 minuten | unlimited |
Hieronder worden de diverse instellingen kort besproken:
- Voor Oracle eigen en applicatie accounts wil je niet dat met regelmaat de passwords vervangen moeten worden omdat dit op dit op vele locaties in bijvoorbeeld software configuraties aangepast moet worden. Hiermee heeft het wijzigen van het password risico’’s in zich oop het gebied van de applicatie beschikbaarheid.
- Voor het ORA_PROFILE en APP_PROFILE geldt dat dit password door of namens de DBA wordt ingesteld. Daardoor kan eventueel afgezien worden van het afdwingen van de complexiteit door een complexity functie. De complexity functie kan zelf gedefinieerd worden of er kan gebruik gemaakt worden van één van de door Oracle meegeleverde functies.
- Voor Oracle eigen en applicatie accounts wil je dat regelmatig invoeren van een foutief password wel wordt ‘bestraft’ omdat dit brute force attacks ontregelt. Maar je wil dit maar kort laten duren omdat dit de beschikbaarheid van de applicatie negatief beïnvloedt.
Met deze indeling is het mogelijk op iedere database de zelfde drie profiles uit te rollen en toe te kennen aan de gebruikers van alle databases in een organisatie. Hierbij is het natuurlijk van belang dat de waarden in de profiles passen binnen het gedefinieerde beleid van de organisatie.
Wilt u meer informatie?