Это смесь программирования и системного администратора, но я решил, что это скорее проблема программирования.
В настоящее время работает над созданием веб-приложения для управления паролями для управления учетными записями пользователей Oracle (C #).
Область требует проверки имени пользователя и пароля пользователя Oracle, прежде чем им разрешат установить новый пароль. Как создать таблицу паролей пользователей (хешированную или нет, это угроза безопасности), как я могу проверить старый пароль пользователя?
Мое текущее решение - попытаться подключиться к базе данных, используя имя пользователя / пароль, указанные пользователем. Слишком много попыток сделать это заблокируют пользователя на стороне Oracle, поэтому грубое принуждение не слишком правдоподобно. Есть ли другие угрозы безопасности здесь, которых я пропускаю, или есть лучший способ справиться с этим?
Мы используем AD в качестве основной аутентификации, но учетные записи AD не привязаны к учетным записям Oracle, поэтому это просто предварительная проверка.
Порядок подачи заявки (если это поможет):
- AD Проверка правильности домена (интрасети)
- Пользователь вводит имя пользователя / пароль Oracle
- Вводит старый пароль, новый пароль + подтверждение
- Сбросить пароль, если правильный