问题:
A . A.引入一个辅助的认证方法,如刷智能卡
B . B.在应用系统中使用基于角色的权限访问
C . C.在每个数据库交易时用户输入ID和密码
D . D.在程序中设置数据库密码的有效期
● 参考解析
当在程序中使用单一的ID和密码时,最好的补偿控制是在应用层采用恰当地访问控制--基于角色的访问。这里关注的是用户权限,而不是认证,因此增加更强的认证也不能改善这种情况。用户输入的ID和密码访问可以提供一个较好的控制,因为数据库日志可确定行为的发起者。然而,这样并不是高效的,因为每笔交易都需要一个单独的身份验证过程。较好的方法是,给密码设一个有效期。但是,在程序中给每个ID自动记录有些不实际。因此,大部分这类的密码设置是不过期。
相关内容
相关标签