CHƢƠNG 6 CÁC CƠ CHẾ BẢO MẬT CƠ SỞ DỮ LIỆU
6.1.2. Bảo mật mật khẩu cơ sở dữ liệu
Nhƣ đã đề cập trong mục 6.1.1.1, mặc dù có nhiều công nghệ xác thực, nhƣng xác thực dựa trên mật khẩu vẫn là phƣơng pháp đƣợc sử dụng phổ biến nhất trong xác thực ngƣời dùng cơ sở dữ liệu. Lý do cho sự phổ biến của việc sử dụng mật khẩu trong xác thực ngƣời dùng cơ sở dữ liệu là đảm bảo đƣợc mức an toàn tối thiểu, đơn giản, dễ sử dụng, và chi phí cài đặt, quản lý và vận hành thấp.
Tính bảo mật của kỹ thuật điều khiển truy nhập sử dụng mật khẩu dựa trên 2 yếu tố: độ khó đoán của mật khẩu và tuổi thọ của mật khẩu. Độ khó đoán của mật khẩu lại phụ thuộc vào số loại ký tự đƣợc sử dụng và độ dài của mật khẩu. Một mật khẩu tốt, khó đoán cho truy nhập cơ sở dữ liệu từ ứng dụng nên đảm bảo có đủ 4 loại ký tự (chữ thƣờng, hoa, chữ số, ký tự đặc biệt) và độ dài từ 10 ký tự trở lên. Tuổi thọ của mật khẩu là khoảng thời gian một mật khẩu hoạt động. Nhìn chung nên chọn mật khẩu có thời gian sống phù hợp theo chính sách an ninh, an toàn của cơ quan, tổ chức.
Một vấn đề khác cần lƣu ý là cần tránh sử dụng các mật khẩu ngầm định hoặc mật khẩu "yếu". Chẳng hạn, nhiều hệ quản trị cơ sở dữ liệu, nhƣ SQL Server 7, SQL Server
2000 cho phép ngƣời dùng sa (system administrator) không có mật khẩu. Ngoài ra, cũng
nên tránh sử dụng các mật khẩu ngắn, dễ đoán, nhƣ tên, ngày tháng năm sinh, tên đăng nhập,… hoặc sử dụng một mật khẩu (kể cả mật khẩu tốt) trên nhiều hệ thống do có nguy cơ rò rỉ cao.