ORACLE DB, finde User mit Default Passwort

Ein kurzer Augenmerk auf eine kleine Feinheit zum Thema Sicherheit:

Selbst aktuell inaktive Standarduser mit Default Passwort sind unschön, aktiviert man diese und vergisst gleichzeitig das Passwort zu ändern, präsentiert man einen Account den ein Angreifer mit Grundwissen nutzen kann. Daher ist es besser bei Routinechecks diesen Punkt prüfen zu können.

Oracle bietet dafür die VIEW mit sprechendem Namen:  DBA_USERS_WITH_DEFPWD

Nutzen wir sie mit:

select * from dba_users_with_defpwd;

 

Die Ausgabe kann lauten:

USERNAME
——————————
APPQOSSYS
XDB
MDSYS
EXFSYS
SI_INFORMTN_SCHEMA
DIP
ORACLE_OCM
ORDSYS
WMSYS
ORDDATA
CTXSYS
ORDPLUGINS
OUTLN
SCOTT

14 Zeilen gewählt.

User SCOTT taucht in der Liste auf, da er das Standardpasswort TIGER hat.

Natürlich können wir das schnell korrigieren:

ALTER USER SCOTT IDENTIFIED BY SCOTT;

Jetzt haben wir das Problem gelöst, der User hat kein Defaultpasswort mehr und taucht auch nicht mehr auf, wenn wir den Report neu ziehen.

Ganz genau betrachtet haben wir aber ein neues Problem generiert.
Es ist ebenfalls unsicher einem User das gleiche Passwort wie der Username zu geben. Zu den Detailaspekten dieses Problems gibt es folgend einen weiteren Beitrag.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.