Oracle 12c 業務使用者密碼大小寫不敏感

一、環境介紹：

linux 6.6

Oracle Database 12c HA環境 

二、場景描述：

運維人員使用pdb中的業務使用者appuser1透過客戶端工具sqlpus，SQLDevloper工具，輸入密碼不論大小均可用正常登入，密碼大小不敏感。

[oracle@db12c ~]$ sqlplus hr/Oracle#123@db12c.example.com:1525/pdbhr.example.com
SQL*Plus: Release 12.2.0.1.0 Production on Fri Nov 27 14:21:21 2020
Copyright (c) 1982, 2016, Oracle.  All rights reserved.
st Successful login time: Tue Feb 12 2019 22:24:38 +08:00
Connected to:
Oracle Database 12c Enterprise Edition Release 12.2.0.1.0 - 64bit Production
SQL> show user
USER is "HR"
SQL>
[oracle@db12c ~]$ sqlplus hr/oracle#123@db12c.example.com:1525/pdbhr.example.com
SQL*Plus: Release 12.2.0.1.0 Production on Fri Nov 27 14:21:21 2020
Copyright (c) 1982, 2016, Oracle.  All rights reserved.
st Successful login time: Tue Feb 12 2019 22:24:38 +08:00
Connected to:
Oracle Database 12c Enterprise Edition Release 12.2.0.1.0 - 64bit Production
SQL> show user
USER is "HR"

 pdb中的巡檢使用者hrcheck必須使用正確密碼才能登入，大小寫是敏感的。

 

透過驗證只有1個業務大小不敏感，其他使用者大小敏感，檢查大小敏感相關引數

[oracle@db12c ~]$ sqlplus / as sysdba
 
SQL*Plus: Release 12.2.0.1.0 Production on Fri Nov 27 14:25:52 2020
 
Copyright (c) 1982, 2016, Oracle.  All rights reserved.
 
 
Connected to:
Oracle Database 12c Enterprise Edition Release 12.2.0.1.0 - 64bit Production
 
SQL> show parameter sec
 
NAME                               TYPE      VALUE
------------------------------------ ----------- ------------------------------
db_securefile                     string     PREFERRED
optimizer_secure_view_merging      boolean        TRUE
sec_case_sensitive_logon          boolean        TRUE
sec_max_failed_login_attempts         integer   3
sec_protocol_error_further_action    string      (DROP,3)
sec_protocol_error_trace_action      string     TRACE
sec_return_server_release_banner     boolean       FALSE
sql92_security                   boolean        TRUE
SQL>

在Oracle的11g之前的版本中密碼是不區分大小寫的（使用雙引號強制除外）。在Oracle的11g版本中對此有所增強。從此密碼有了大小寫的區分，這個大小寫敏感特性是透過SEC_CASE_SENSITIVE_LOGON引數來控制的。SEC_CASE_SENSITIVE_LOGON引數啟用或禁用資料庫中的密碼大小寫敏感性。它預設為真實值。

TRUE -資料庫登入密碼區分大小寫

FLASE-資料庫登入密碼不區分大小寫

 

SQL>select username,password_versions from cdb_users where account_status=’OPEN’
And profile=’APP_PROFILE’;
USERNAME                          PASSWORD_VERSIONS
------------------------                       ------------------------
appuser1                           10G
hrcheck                             10G 11G 12C

appuser1使用者的password_versions為10G是導致密碼大小寫不敏感的原因，按照profile的要求重置密碼後，密碼大小寫敏感。該系統的資料庫是由Oracle10g透過資料泵方式遷移至12c的，appuser1使用者使用了老版本的password_version。

四、總結

建議生產環境資料庫使用者堅持許可權最小，按需使用。使用者必須配置相應的profile，密碼複雜度符合要求，不要使用弱口令，定期修改密碼。