セキュアなパスワードの選択

セキュアなパスワードを選択し、適切なパスワード・ポリシーを実装することは、パスワードが原因で起こるセキュリティの脅威から保護するためのもっとも重要な防御方法です。 オラクルでは、少なくとも10文字以上のパスワードを使用することを顧客に推奨しています。さらに、パスワードが複雑であることが重要です。 単語に基づいたパスワードは、"辞書攻撃"を受けやすくなります。複雑なパスワードの必要条件は次のとおりです。

• 10文字以上
• 文字と数字の混合
• 大文字と小文字の混合（Oracle Database 11g）
• 記号の使用（Oracle Database 11gより前では、"_"、"$"、"#"が使用可能）
• 実際の単語とほとんどまたはまったく関連がないこと

強力で複雑なパスワードに勝るものはありませんが、次の方法を使用することによって、短くて覚えやすいパスワードから、長いパスワードを生成できます。 Oracle Database 11gでは、大文字と小文字が混合したパスワードがサポートされていることに注意してください。

• 覚えやすい文章を構成する単語の最初の文字からパスワードを作成します。たとえば、'I usually work until 6 almost every day of the week'が、'Iuwu6aedotw'になります。
• 次のように2つの弱いパスワードを組み合わせます。 "welcome1"と"tiger"を組み合わせて、"WelTigerCome1"にします。
• パスワードの最初または最後の文字を繰り返します。
• 何らかの文字列を付加または追加します。
• 別のパスワードを付加または追加します。
• 同じパスワードの一部を追加します。
• 文字の一部またはすべてを2度繰り返します。たとえば、"welcome13" → "wwellCcooMmee13"といった具合です。

このリストの方法を無作為に使用することで、攻撃者がパスワードを解読するためにおこなう作業が増えることになります。

また、オラクルでは、パスワードの有効期限を設定し、 Oracleプロファイルを使用してポリシーを再利用し、Oracleアプリケーションで定義されたベスト・プラクティスに従うことを顧客に推奨しています。 Oracle Database 11gでは、データベースのインストール中にパスワード・ポリシーの構成が簡単にできるようになりました。たとえば、インストール中に、顧客はユーザーがアカウントを一時的に非アクティブ化する前に、不正なパスワードを入力する回数を制限できるようにします。また、Oracle Database監査を使用して、アカウント・ログインを監視することもできます。

Oracle Database Enterprise User Security（EUS）では、Oracle Identity Managementを利用してデータベース・パスワードの格納および管理を一元化しています。 EUSでは、Oracle9i Release 2からパスワードベースの認証をサポートしています。また、EUSは、Oracle Database 10g Release 1でSHA-1ハッシュのサポートを開始しました。一元化されたパスワードベースの認証には、Oracle Identity Management Directory Servicesのライセンスが必要とされることに注意してください。

パスワードベースの認証に不安がある顧客は、Kerberos、SSL、RADIUSといった高度な認証テクノロジーをオプションで使用できます。 これらの認証テクノロジーは、Oracle Advanced Security Optionで入手できます。