1.1目的
本文档旨在指导系统开发人员或系统管理人员进行用户登录模块安全问题检查和配置。
1.2适用范围
本安全配置规范的使用者包括:平台系统管理员、应用管理员、系统开发人员等。
本安全配置规范适用的范围包括:平台系统的用户登录模块。
2.1校验弱口令
注册时,为避免出现弱口令,弱密码,如123456,abcd,建议使用长度大于8位、复杂度为大写字符、小写字母、数字、特殊字符至少三种组合的混合的口令。
2.2登录信息加密传输
用户敏感数据如账号密码避免直接明文传输,应做加密处理
用户认证信息建议通过https加密信道传输
用户登录认证时需使用动态密码的方式,或双因子认证
2.3登录错误模糊提示
用户登录信息输入错误,避免出现“用户名错误” 、“密码错误” 、““用户名和密码对不上”,应该模糊提示,例如 用户名或密码错误
2.4登录模块代码安全性
登录模块代码符合安全规范要求,避免出现sql注入漏洞
2.5登录次数限制
限制密码尝试登录次数限制,例如5次密码输入错误,账号登录锁定
限制用户尝试登录次数限制,例如5次用户名输入错误,账号登录锁定
2.6验证码要求
采用复杂的验证码,防止图片验证码被识别
设置验证码过期时间,及时销毁会话,避免验证码复用
进行非空判断,避免验证过程中验证码为空的情况
2.7短信邮件验证
添加短信邮件发送限制,避免短信邮件轰炸
短信邮件采用复杂的验证码,例如:6位数字加字母的组合,并设置验证码有效期
