1、密码管理1.1、强制使用强密码。密码强度是由其长度和复杂度决定的。二者缺一不可。通俗讲至少8位以上,三种字符。数字、字母、特殊字符混合。1.2、密码长期未修改,登录后会有友善提醒。
2、身份验证3.1、当连续多次登录失败后,应强制锁定用户登录。3.2、身份验证地方启用了滑动验证码功能,防止恶意登录尝试。3.3、登录时启用了双因素认证,账号密码+短信验证码。
3、会话管理当修改了密码完成之后,立马系统就会自动退出登录,要求输入新密码重新登录。
4、资源访问控制对于关键资源的访问,比如个税信息查看和下载,要求输入密码。
5、输出控制对于展现给用户的信息,完全遵循了最小够用原则。不需要展现的数据,就不传输到用户端。
