Se um DBA armazenar e recuperar senhas

É responsabilidade dos desenvolvedores de aplicativos acompanhar as credenciais de que precisam para acessar o banco de dados. Razão é que a aplicação PRECISA daquela senha para fazer seu trabalho, mas o banco de dados continuará funcionando independentemente.

Se os desenvolvedores perderem suas senhas, é tarefa do DBA redefini-las e fornecer uma nova, mas elas definitivamente não devem manter as versões em texto puro por aí. Pense em um administrador de sistema e usuários. O administrador de sistema não conhece as senhas dos usuários e é responsável apenas por redefini-las e fornecê-las.

Meus $ 0,02 aqui.

O DBA deve rastrear as senhas do aplicativo. Os desenvolvedores nunca devem ter as senhas de produção ou as senhas de controle de qualidade. O DBA deve conter todas essas chaves e fornecê-las ao administrador de sistema que faz as implementações, conforme necessário.

Pessoalmente eu tenho um pequeno aplicativo web que eu construí algumas empresas atrás que eu achei útil. Ele permite que você coloque os nomes de usuário e senhas no banco de dados, que armazena as senhas de forma segura e criptografada. Todo o acesso ao aplicativo é registrado para auditoria SOX.

O acesso às contas é concedido por meio do aplicativo para que, como DBA, eu possa criar uma conta e fornecer aos desenvolvedores acesso de leitura à conta dentro do aplicativo, para que eles possam ver a senha dev. O mesmo vale para o sysadmin para as senhas de controle de qualidade e produção.

Na minha opinião, não deve haver necessidade de um DBA saber ou se envolver com qualquer senha que eles não precisem saber para realizar seu trabalho. você pode ajudá-los a redefinir a senha quando for esquecida, lembrá-los de que ela não mudou / forçar o ciclo de mudança e outras funções periféricas como essa, mas não é sua responsabilidade ser o monitor de senha. Também o abre para saber / ter acesso à senha, se você estiver monitorando-a.

Eu sugiro que cada aplicativo tenha um administrador de aplicativo que faça esse trabalho para sua equipe, de maneira que tudo seja gerenciado "localmente". Contanto que a combinação de conta / senha seja monitorada para uso, de modo que ninguém tenha acesso anônimo aos dados, isso deve dar certo.

Como acontece com algumas das postagens acima, o DBA realmente não deveria se importar ou se preocupar com o usuário / senhas. Infelizmente, alguém precisará recuperar essas informações em algum ponto da estrada. Desenvolvemos um pequeno aplicativo que criará a senha com base no nome de usuário usando nosso próprio algoritmo. Usa a própria ferramenta cliente do DBA e se alguém pedir uma senha, podemos recuperá-la para ela. Se, no futuro, o aplicativo estiver comprometido, poderemos sempre alterar o algoritmo e / ou redefinir as senhas. Nós só usamos isso para contas de aplicativos.

Não podemos dar uma resposta definitiva, pois respostas diferentes serão apropriadas para organizações diferentes. Você deve ter essa discussão internamente para identificar quem deve ser responsável pelas informações dentro da sua organização. Se você não conseguir chegar a um acordo sobre algo tão trivial como este, provavelmente terá outros problemas para resolver. Em um caso como este, o que nós achamos não deve fazer absolutamente nenhuma diferença.

É uma boa pergunta e provavelmente tem tantas respostas quanto DBAs Oracle. Pessoalmente, prefiro não manter essa lista e simplesmente configurarei uma nova senha conforme necessário - e, possivelmente, alterarei a senha original em sua forma criptografada quando terminar.

Eu acho que eles podem. Trabalhei com uma empresa por cerca de 5 anos, onde tínhamos funções claramente definidas - os desenvolvedores de aplicativos criavam os aplicativos e projetavam o banco de dados, e os DBAs testavam os bancos de dados usando os logins que os aplicativos usavam para obter acesso ao banco de dados. Eles se certificaram de que tudo o que essa conta de usuário funcionava como deveria e verificaram o desempenho do banco de dados. Eles fizeram mais testes do que nunca. Eles também asseguraram que todos os outros usuários estivessem bloqueados no banco de dados, então qualquer coisa que acontecesse sob aquele usuário estava restrita a poucas pessoas selecionadas.

Então eu realmente acho que é importante permitir que os DBAs tenham esse nome de usuário / senhas. É como se os administradores tivessem acesso a contas de "teste" para verificar certas funções na rede.

Não deve ser possível que o DBA ou qualquer outra pessoa recupere senhas. Redefinir talvez, recuperar não.

As senhas devem ser criptografadas ou criptografadas no banco de dados e durante a transmissão.