用户登录
检测用户登录过程中是否需要输入用户名和密码。
检测是否有密码尝试次数限制,限制策略是否安全。
检测是否存在密码或账户登录错误提示混淆的问题。
是否记住用户名或密码。
是否有错误信息提示。
是否有验证码确认用户信息。
支付密码和账户是否使用同一键盘进行输入。
支付过程是否可以截图。
是否含有敏感信息的输入。
密码管理
检测密码输入是否使用安全键盘。
检测密码是否有强度要求。
检测密码是否本地存储。
检测密码是否加密传输。
检测密码找回策略是否存在安全隐患。
支付安全
检测是否有支付密码保护。
检测是否有支付密码试错次数限制。
身份认证
检测在安全级别要求较高的应用场景是否有除密码之外的安全认证机制,安全认证机制是否起到较完善的安全保护效果。
超时设置
检测是否有会话超时机制,超时后重鉴别。
检测标准
《信息系统安全等级保护》
《应用安全开发管理规范》
《支付卡行业数据安全标准PCI-DSS》
《中国金融移动支付-客户端技术规范》
