檢索oracle中口令：第一種方法

資料庫安全檢查中常涉及到對使用者口令的基本檢查。

如果使用者的口令與使用者名稱相同，則認定此使用者的安全策略不高。

 

但使用者口令是通過oracle演算法加密，並不能簡單看出被加密後的口令是否與使用者名稱一致。

 

不過換種思路，如果對加密後的口令的值進行保留。

（不用擔心還原的問題，oracle可通過加密的口令值重新設定使用者的新口令–即還原口令）

然後修改使用者的口令，使其與使用者名稱相同，如果此時新的口令經過加密後的值，還是和原先保留的值一致，那麼可認定原先的口令也和使用者名稱相同了。

 

測試如下：

管理員A：

SQL> CREATE USER ZC IDENTIFIED BY ZC;

設定ZC使用者的口令為大寫ZC ，與使用者名稱相同

 

管理員B：

SQL> SELECT NAME,PASSWORD FROM sys.user$ WHERE TYPE#=1 AND NAME=’ZC’;

 

NAME                           PASSWORD

—————————— ——————————

ZC                             931282A72FB31E22

 

管理員B此時發現加密後的口令是<931282A72FB31E22>

 

管理員B修改口令，將口令修改為ZC

SQL> ALTER USER ZC IDENTIFIED BY ZC;

User altered

再次檢查加密後的口令值

SQL> SELECT NAME,PASSWORD FROM sys.user$ WHERE TYPE#=1 AND NAME=’ZC’;

 

NAME                           PASSWORD

—————————— ——————————

ZC                             931282A72FB31E22

 

檢查後發現加密後的口令值還是<931282A72FB31E22>。

那麼即可得出結論，修改前的口令也是ZC，與使用者名稱相同。

來自 “ ITPUB部落格 ” ，連結：http://blog.itpub.net/10009036/viewspace-1061453/，如需轉載，請註明出處，否則將追究法律責任。