口令管理策略

• 帐户锁定

可以使用帐户锁定特性制定在拒绝用户访问之前帐户身份验证失败的次数，当用户身份验证失败的次数超过系统规定的最大值，用户将被锁定，禁止再次登录。

可以根据需要开启或关闭帐户锁定功能，这通过设置配置参数CHECK_LOGIN_COUNT来实现。启用了帐户锁定之后，同时需要设置允许失败登录的最大值MAX_LOGIN_COUNT。作为系统管理员，必须考虑两个帐户锁定变量：

用户身份验证失败的次数。在每一次尝试失败后，记录在系统表中的失败登录计数器加1。如果用户帐户的失败登录次数达到系统配置的最大数MAX_LOGIN_COUNT时，以后的连接尝试都将被拒绝。在失败登录计数器的值小于配置的最大值时，一次成功的身份验证将其值复位为零。

失败登录计数器的复位。当用户帐户被锁定后，需要与数据库管理员联系，管理员根据用户身份复位失败登录计数器。

• 口令到期机制

口令到期机制制定了用户使用某一口令的时间约束，当用户口令的使用时间超过系统配置参数PASSWD_VALID_DAYS规定的值，用户登录将被禁止。使用口令到期机制，系统管理员需要维护用户密码修改记录。在创建用户或修改用户密码后，用户的密码修改记录保存在系统表中，用户每次登录时，将获取密码最新更改时间以判断当前口令使用的有效性。

• 口令历史

使用口令历史机制，将禁止用户设置重复的密码。可以根据需要开启或关闭口令历史机制，这通过设置配置参数CHECK_PWD_HISTORY来实现。当用户更改密码时重复设置了以前使用过的密码，则用户更改密码操作失败，需要重新设置新的密码。

• 口令复杂度验证

为了防止非法用户的恶意攻击，数据库帐户设定的密码需要符合一定的口令复杂度要求，即密码长度不能小于系统配置参数MIN_PASSWORD_LEN的设定值，并且密码应包含字母、数字、特殊字符（如~!#$%^+=等）。