Nhƣ đã đề cập trong mục 6.1.1.1, mặc dù có nhiều công nghệ xác thực, nhƣng xác
thực dựa trên mật khẩu vẫn là phƣơng pháp đƣợc sử dụng phổ biến nhất trong xác thực
ngƣời dùng cơ sở dữ liệu. Lý do cho sự phổ biến của việc sử dụng mật khẩu trong xác thực ngƣời dùng cơ sở dữ liệu là đảm bảo đƣợc mức an toàn tối thiểu, đơn giản, dễ sử
dụng, và chi phí cài đặt, quản lý và vận hành thấp.
Tính bảo mật của kỹ thuật điều khiển truy nhập sử dụng mật khẩu dựa trên 2 yếu tố:
độ khó đoán của mật khẩu và tuổi thọ của mật khẩu. Độ khó đoán của mật khẩu lại phụ
thuộc vào số loại ký tựđƣợc sử dụng và độ dài của mật khẩu. Một mật khẩu tốt, khó đoán
cho truy nhập cơ sở dữ liệu từ ứng dụng nên đảm bảo có đủ 4 loại ký tự (chữ thƣờng, hoa, chữ số, ký tựđặc biệt) và độ dài từ 10 ký tự trở lên. Tuổi thọ của mật khẩu là khoảng thời gian một mật khẩu hoạt động. Nhìn chung nên chọn mật khẩu có thời gian sống phù hợp theo chính sách an ninh, an toàn của cơ quan, tổ chức.
Một vấn đề khác cần lƣu ý là cần tránh sử dụng các mật khẩu ngầm định hoặc mật khẩu "yếu". Chẳng hạn, nhiều hệ quản trị cơ sở dữ liệu, nhƣ SQL Server 7, SQL Server 2000 cho phép ngƣời dùng sa (system administrator) không có mật khẩu. Ngoài ra, cũng
nên tránh sử dụng các mật khẩu ngắn, dễ đoán, nhƣ tên, ngày tháng năm sinh, tên đăng
nhập,… hoặc sử dụng một mật khẩu (kể cả mật khẩu tốt) trên nhiều hệ thống do có nguy
cơ rò rỉ cao.