パスワード管理

パスワードを管理して、認証に実装できるセキュリティのレベルを高めることができます。

この項では、TimesTenのパスワード管理の概要を説明します。

• パスワード管理機能

• パスワード管理用のプロファイル

パスワード管理機能

パスワード管理機能によって、TimesTenデータベースのセキュリティを強化できます。

• パスワードの存続期間と猶予期間

• パスワードの再利用に関する制限事項

• ログイン試行の最大失敗回数とパスワード・ロック期間

• パスワード複雑度チェッカ

パスワードの存続期間と猶予期間

ユーザーが同じパスワードを継続して使用できる期間と、その期間の経過後の猶予期間を制限できます。この猶予期間中、パスワードは引き続き許可されて認識されますが、警告が表示されます。

パスワードの再利用に関する制限事項

パスワード存続期間を制限するとシステムのセキュリティが強化されますが、ユーザーは以前のパスワードを頻繁に再利用できるため有効性が低下します。

ユーザーがパスワードを変更するときに、管理者は次の事項を指定できます。

• 以前のパスワードが再利用できるようになるまでの最短経過期間。

• 以前のパスワードが再利用できるようになるまでに必要なパスワードの変更回数。

パスワードを再利用できるようにするには、この両方を満たしている必要があります。たとえば、PASSWORD_REUSE_TIMEが30、PASSWORD_REUSE_MAXが10の場合は、そのパスワードが最近使用した10個のパスワードでないときに、30日後に再利用できます。

そのどちらか一方を無制限に設定した場合は、パスワードの再利用ができなくなりますが、その両方を無制限に設定した場合は、パスワードの再利用ができるまでの間隔に制限がなくなります。

ログイン試行の最大失敗回数とパスワード・ロック期間

ハッカーは、パスワードが通用するまで何度もパスワードを推測して、TimesTenへのアクセスを試行することがあります。試行の失敗の許容回数と、その最大回数に達した後にアカウントをロックする期間を制限できます。

パスワード複雑度チェッカ

TimesTenには、パスワードの十分な複雑度をテストするために選択できる一連のPL/SQLファンクションが用意されています。この機能により、ユーザーのパスワードを厳格にしてシステムに必要な保護レベルを確保できます。

次のファンクションがあります。

• TT_VERIFY_FUNCTION (基本保護)
• TT_STRONG_VERIFY_FUNCTION (強力な保護)
• TT_STIG_VERIFY_FUNCTION (国防総省データベース・セキュリティ技術導入ガイドに従った保護)

チェックは、CREATE USERまたはALTER USER文を使用して新しく指定されたパスワードに対して実行されます。パスワードに十分な複雑度がない場合、文はエラーで失敗します。

CREATE PROFILEまたはALTER PROFILE文を使用してユーザー・プロファイルを作成または変更するときに、パスワード複雑度の検証ファンクションを指定できます。PASSWORD_COMPLEXITY_CHECKERパラメータを目的のファンクションに設定するか、複雑度チェックなしのNULLに設定するか、DEFAULTに設定してDEFAULTユーザー・プロファイル(デフォルトではNULL)に従って複雑度チェックを設定します。次に、CREATE USERまたはALTER USER文を使用してユーザーを作成または変更するときに、そのプロファイルを指定します。

『Oracle TimesTen In-Memory Database SQLリファレンス』のCREATE PROFILEを参照してください。

ノート:

• TimesTenは、ユーザー定義のパスワードの複雑度ファンクションをサポートしていません。
• CREATE PROFILEまたはALTER PROFILEのパラメータPASSWORD_VERIFY_FUNCTIONは、PASSWORD_COMPLEXITY_CHECKERと同等です。

パスワード管理用のプロファイル

TimesTenでは、プロファイルを使用してパスワード管理パラメータの設定を指定します。

TimesTenでは、前述の項で説明した機能(PASSWORD_LIFE_TIME、PASSWORD_GRACE_TIME、PASSWORD_REUSE_TIME、PASSWORD_REUSE_MAX、FAILED_LOGIN_ATTEMPTSおよびPASSWORD_LOCK_TIME)のプロファイルを使用します。

複数のユーザーに同じプロファイルを使用できます。また、デフォルトのプロファイルもあります。プロファイルが割り当てられていないユーザーには、デフォルト・プロファイルが使用されます。また、プロファイルのパラメータにDEFAULTを設定すると、デフォルト・プロファイルの値が使用されるようになります。

プロファイルは、CREATE PROFILE SQL文で作成します。既存のプロファイルをユーザーに割り当てる場合は、CREATE USER文にPROFILEを指定します。

『Oracle TimesTen In-Memory Database SQLリファレンス』のCREATE PROFILE、ALTER PROFILE、CREATE USERまたはALTER USERを参照してください。