Nieuwe password policy voor databases - Serversoftware en clouddiensten

donderdag 11 januari 2018 15:58

Acties:

Nocturnal Metamorphoses™

Topicstarter

Ik moet onderzoeken welke niet-Oracle databases (meeste zijn SQL en PostGre db's) bestaan binnen het netwerk waarvan het wachtwoord afwijkt van de nieuw in te voeren policy.

Nu is mijn vraag: Mocht er een nieuwe password policy ingevoerd zijn en bepaalde db's zijn nog niet voorzien van een wachtwoord wat voldoet aan de nieuwe policy, kan het dan voorkomen dat applicaties die connecteren met een database waarvan het wachtwoord is gewijzigd, dit niet meer kunnen?

Ik ben zelf niet zo thuis over deze materie gezien mijn functie dus het is voor mij een beetje vaag. Ik kan mij voorstellen dat dit voor andere klare koek is.

Forever raver!
Specs: Workstation Server

donderdag 11 januari 2018 16:01

Acties:

DukeBox

loves wheat smoothies

Volgens mij kan je niet achteraf zien of een bestaand password aan de policy voldoet in MSSQL én PostGreDB. Dat zou hoe dan ook onveilig zijn als ze reversable worden opgeslagen.

Duct tape can't fix stupid, but it can muffle the sound.

donderdag 11 januari 2018 16:04

Acties:

HKLM_

ligt een beetje aan de policy, als de wachtwoorden met terugwerkende kracht verlopen ben je ook de sjaak m.b.t je SA accounts.

Echter waar ik tot nu toe gewerkt heb hebben applicaties een SA account met fixed password omdat je niet voor heel je infra eens in de 30,90,180 dagen de passwords wilt wijzigen.

Cloud ☁️

donderdag 11 januari 2018 16:23

Acties:

Techno Overlord

Nocturnal Metamorphoses™

Topicstarter

DukeBox schreef op donderdag 11 januari 2018 @ 16:01:
Volgens mij kan je niet achteraf zien of een bestaand password aan de policy voldoet in MSSQL én PostGreDB. Dat zou hoe dan ook onveilig zijn als ze reversable worden opgeslagen.

Ok dus als de policy wordt gewijzigd van 6 naar 10 characters dan worden bestaande accounts niet beinvloed. Dit gebeurt pas als het wachtwoord verloopt en er een nieuw wachtwoord gekozen moet worden?

HKLM_ schreef op donderdag 11 januari 2018 @ 16:04:
ligt een beetje aan de policy, als de wachtwoorden met terugwerkende kracht verlopen ben je ook de sjaak m.b.t je SA accounts.

Echter waar ik tot nu toe gewerkt heb hebben applicaties een SA account met fixed password omdat je niet voor heel je infra eens in de 30,90,180 dagen de passwords wilt wijzigen.

Die fixed passwords moeten dan handmatig gewijzigd worden? Zowel in de database als in de applicatie?

Is er een manier om van alle db's geautomatiseerd het wachtwoord te wijzigen?

[ Voor 3% gewijzigd door Techno Overlord op 11-01-2018 16:24 ]

Forever raver!
Specs: Workstation Server

donderdag 11 januari 2018 19:36

Acties:

DukeBox

loves wheat smoothies

Techno Overlord schreef op donderdag 11 januari 2018 @ 16:23:
Ok dus als de policy wordt gewijzigd van 6 naar 10 characters dan worden bestaande accounts niet beinvloed. Dit gebeurt pas als het wachtwoord verloopt en er een nieuw wachtwoord gekozen moet worden?

Ja, pas bij het invoeren wordt de complexity gechecked a.d.h.v. jouw policy.

Duct tape can't fix stupid, but it can muffle the sound.

donderdag 11 januari 2018 19:52

Acties:

Reptile209

- gers -

Staat er in je password-tabellen een veld met een timestamp van wanneer het password voor het laatst gewijzigd is? Zo ja, dan kan je dat checken tegen de datum waarop de nieuwe policy is ingegaan.

Zo scherp als een voetbal!

donderdag 11 januari 2018 20:41

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

Reptile209 schreef op donderdag 11 januari 2018 @ 19:52:
Staat er in je password-tabellen een veld met een timestamp van wanneer het password voor het laatst gewijzigd is? Zo ja, dan kan je dat checken tegen de datum waarop de nieuwe policy is ingegaan.

Dat ja. Check de documentatie en als die er niet is dan heb je al een bevinding op zich. Ik mag hopen dat er niet ergens leesbaar een indicatie van de precieze entropie vh pass staat. Dat zou het kraken een stuk makkelijker maken...

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

vrijdag 19 januari 2018 23:16

Acties:

demokert

Ik neem even gemakshalve aan dat je met policy Domain Policies bedoelt.

Voor MSSQL:
- Domain accounts die je gebruikt voldoen aan de gestelde policy.
- SQL accounts kunnen hier op mee liften mits je dit afdwingt in de properties van dit account middels "Enforce Password Policy"
Afbeeldingslocatie: https://sudeeptaganguly.files.wordpress.com/2010/04/image5b265d.png

Afbeeldingslocatie: https://sudeeptaganguly.files.wordpress.com/2010/04/image5b265d.png

Techno Overlord schreef op donderdag 11 januari 2018 @ 15:58:
Nu is mijn vraag: Mocht er een nieuwe password policy ingevoerd zijn en bepaalde db's zijn nog niet voorzien van een wachtwoord wat voldoet aan de nieuwe policy, kan het dan voorkomen dat applicaties die connecteren met een database waarvan het wachtwoord is gewijzigd, dit niet meer kunnen?

Ja deze kunnen dan nog steeds inloggen.

Wil je binnen SQL dit nou verifiëren kan dit middels sys.server_principals.
https://docs.microsoft.co...r-principals-transact-sql
Mocht je hier niet uitkomen, pm je maaar en dan kijk ik maandag wel naar mijn scriptje.

HKLM_ schreef op donderdag 11 januari 2018 @ 16:04:
ligt een beetje aan de policy, als de wachtwoorden met terugwerkende kracht verlopen ben je ook de sjaak m.b.t je SA accounts.

Echter waar ik tot nu toe gewerkt heb hebben applicaties een SA account met fixed password omdat je niet voor heel je infra eens in de 30,90,180 dagen de passwords wilt wijzigen.

Dit doe ik elke maand voor zowel mijn SA (MSSQL) en SYS/SYSTEM (Oracle) accounts op zo'n pak em beet 300 servers.

En jaarlijks voor de service accounts voor de MSSQL servers en het oracle account voor U raadt het al Oracle

En applicaties die draaien onder een SA account, dit is een grapje neem ik aan?