| 점검내용 | 패스워드 복잡도를 확인하는 PASSWORD_VERIFY_FUNCTION 값이 설정되어 있는지 점검 |
| 점검목적 | ASSWORD_VERIFY_FUNCTION 값을 설정하여 기본적인 패스워드 정책을 적용하고 이를 통해 로그인에 대한 보안성을 강화하여 저장중인 데이터의 안전성을 높이고자 함 |
| 보안위협 | PASSWORD_VERIFY_FUNCTION 값이 설정되어 있지 않을 경우, 비인가자가 각종 공격(무작위 대입 공격, 사전 대입 공격 등)을 통해 취약한 패스워드가 설정된 사용자 계정의 패스워드를 획득하여 획득한 사용자 계정 권한을 통 해 저장되어 있는 데이터의 유출, 수정, 삭제 등의 위험이 발생할 수 있음 |
| 판단기준 | 양호 : 패스워드 검증 함수로 검증이 진행되는 경우 |
| 취약 : 패스워드 검증 함수가 설정되지 않은 경우 | |
| 조치방법 | 패스워드 검증 함수(PASSWORD_VERIFY_FUNCTION) 사용 설정 |
<점검방법>
1. Oracle
- 설정 확인 (반환 레코드가 존재하는 경우 취약)
- 패스워드 복잡도를 강제하는 패스워드 검증 함수를 생성, 사용하여야 함
2. Altibase
- 명령어를 통해 PASSWORD_VERIFY_FUNCTION COLUMN 값을 확인
(값이 없을 경우 패스워드 유효성 검사 함수가 설정되어 있지 않음)
- PASSWORD_VERIFY_FUNCTION 프로퍼티 설정
3. Tibero
- 사용자별 패스워드 프로파일 적용 여부 확인
- 설정되어 있을 경우 프로파일 설정 내용 확인
- 설정되어 있지 않을 경우 프로파일 생성 시(또는 수정 시 alter profile) 패스워드 정책 설정
'DBMS 취약점 > 옵션관리' 카테고리의 다른 글
| 3. 옵션관리 / 3.5 인가되지 않은 GRANT OPTION 사용 제한 (중요도:중) (0) | 2025.03.10 |
|---|---|
| 3. 옵션관리 / 3.4 인가되지 않은 Object Owner의 제한 (중요도:하) (0) | 2025.03.10 |
| 3. 옵션관리 / 3.1 응용프로그램 또는 DBA 계정의 Role 이 Public으로 설정되지 않도록 설정 (중요도:상) (0) | 2025.03.04 |