如何配置密码重用限制_PASSWORD_REUSE_TIME与MAX参数

Oracle 密码重用限制：一个必须厘清的“与”逻辑

在配置Oracle数据库的密码安全策略时，密码重用限制是个高频话题。但不少朋友会在这里踩坑，核心原因在于对Oracle的实现机制理解有偏差。今天，我们就来彻底拆解一下。

免费影视、动漫、音乐、游戏、小说资源长期稳定更新！ 👉 点此立即查看 👈

Oracle密码重用限制由PROFILE的PASSWORD_REUSE_TIME和PASSWORD_REUSE_MAX属性共同控制，二者为“与”关系，必须同时满足才能重用旧密码。

Oracle 密码重用限制靠 PROFILE 控制，不是单独配置参数

首先得明确一点：Oracle压根就没有全局或实例级的、类似_password_reuse_time或max这样的独立参数。这些策略只“活”在PROFILE的定义里。如果你试图在init.ora、spfile里添加，或者用alter system去设置，结果要么是报错，要么就是被系统直接忽略。

真正起作用的，是PROFILE里的PASSWORD_REUSE_TIME和PASSWORD_REUSE_MAX这两个属性。而且，光在PROFILE里定义了还不够，必须把这个PROFILE绑定到具体的用户（或者让用户使用默认PROFILE），策略才算真正落地。

PASSWORD_REUSE_TIME 和 PASSWORD_REUSE_MAX 的行为差异

这里有个关键点：这两个参数不是“二选一”的关系，而是严格的“与”逻辑。什么意思？用户必须同时满足时间间隔和次数限制，才能重用旧密码。举个例子，如果设置成PASSWORD_REUSE_TIME 365和PASSWORD_REUSE_MAX 5，那就意味着：用户想再次使用某个密码，必须满足两个条件——第一，距离上次使用该密码至少过去了365天；第二，这个密码在历史记录里出现的次数（包括当前这次）不能超过5次。

• PASSWORD_REUSE_TIME的单位是天，支持小数（比如0.5代表12小时），但实际生效的精度取决于数据库记录密码更改时间戳的粒度，通常精确到秒。
• PASSWORD_REUSE_MAX是整数。如果设为UNLIMITED，就表示不检查历史次数；如果设为0，那就意味着完全禁止重用，哪怕时间条件满足了也不行。
• 如果只设置了其中一个参数，另一个默认就是UNLIMITED。这时候，单个条件实际上形不成限制。比如，只设了PASSWORD_REUSE_MAX 3但没设时间，那么只要这个密码在历史上没用超过3次，用户立刻就能重用它。

实操：创建/修改 PROFILE 并分配给用户

实际操作中，不建议直接去修改DEFAULT PROFILE的密码策略，除非你非常清楚后果。更稳妥的做法是新建一个PROFILE。记住，修改PROFILE不会影响已经存在的密码历史记录，它只对后续执行的ALTER USER ... IDENTIFIED BY这类密码更改操作生效。

CREATE PROFILE app_user_prof LIMIT
  PASSWORD_REUSE_TIME 365
  PASSWORD_REUSE_MAX 5
  FAILED_LOGIN_ATTEMPTS 6
  PASSWORD_LOCK_TIME 1/24; -- 锁 1 小时
ALTER USER scott PROFILE app_user_prof;

• 执行上述操作后，用户scott下次修改密码时，Oracle就会去查询他的密码历史表（数据存在USER$系统表的ASTATUS字段和相关的加密哈希链里），判断是否同时满足时间和次数两个条件。
• 这里有个隐藏限制：Oracle默认只保留最近10次的密码历史记录（由一个不可修改的隐含参数_password_history_max控制）。所以，如果你把PASSWORD_REUSE_MAX设得超过10，实际上是没有意义的。
• PROFILE的修改会立即生效，但用户当前的会话不需要重新登录。策略的校验，会在用户下一次执行ALTER USER ... IDENTIFIED BY命令时触发。

常见错误现象和排查点

经常有用户抱怨：“明明已经过了365天，为什么还是不能用回旧密码？” 这大概率不是配置错了，而是没完全理解Oracle的校验逻辑。

• 系统通常会报错：ORA-28007: the password cannot be reused。这个错误很明确，说明PASSWORD_REUSE_TIME和PASSWORD_REUSE_MAX这两个条件至少有一个没满足。
• 排查时，先检查PROFILE的设置：SELECT * FROM DBA_PROFILES WHERE PROFILE='APP_USER_PROF' AND RESOURCE_NAME LIKE 'PASSWORD%';
• 再确认用户实际使用的是哪个PROFILE：SELECT USERNAME, PROFILE FROM DBA_USERS WHERE USERNAME='SCOTT';
• Oracle不存储明文密码，只存哈希值。但哈希值相同就被视为同一密码。所以，哪怕只是大小写、空格或特殊字符有变化，都会产生全新的哈希，不会被算作“重用”。
• 需要警惕的是，如果用户使用了ALTER USER ... IDENTIFIED BY VALUES这种语法直接指定密码哈希值，那么就会完全绕过密码复杂度及重用检查，PASSWORD_REUSE_*策略也就失效了。

说到底，密码重用策略的复杂性，在于它深度耦合了密码历史、PROFILE定义和底层存储。它依赖系统表、隐含参数，甚至哈希算法的版本。一旦出现问题，光看日志很难定位，往往需要反复验证“PROFILE设置 + 用户绑定 + 历史哈希链”这三者的状态，才能找到症结所在。