身份认证等保要求
2021-07-06 10:57:30 17 举报AI智能生成
身份认证等保要求是指在信息系统安全等级保护中,对用户身份进行验证和授权的一系列措施。这些措施旨在确保只有经过授权的用户才能访问和使用系统资源,防止未经授权的访问和数据泄露。身份认证等保要求通常包括用户名和密码验证、双因素认证、生物特征识别等多种技术手段。此外,还需要考虑如何管理和保护用户的身份信息,以防止其被非法获取和滥用。总之,身份认证等保要求是保障信息系统安全的重要措施之一。
作者其他创作
大纲/内容
口令
强度要求
规则 1:口令长度至少 6 个字符(特权用户至少 8 个字符)。
规则 2:口令必须包含如下至少两种字符的组合:
1. -至少一个小写字母;
2. -至少一个大写字母;
3. -至少一个数字;
4. -至少一个特殊字符:`~!@#$%^&*()-_=+\|[{}];:'",<.>/? 和空格
规则 3:口令不能和帐号或者帐号的倒写一样;若设置的口令不符合上述规 则,必须进行警告。
规则 2:口令必须包含如下至少两种字符的组合:
1. -至少一个小写字母;
2. -至少一个大写字母;
3. -至少一个数字;
4. -至少一个特殊字符:`~!@#$%^&*()-_=+\|[{}];:'",<.>/? 和空格
规则 3:口令不能和帐号或者帐号的倒写一样;若设置的口令不符合上述规 则,必须进行警告。
定期更换要求
首次登录系统要提示修改密码,不允许别的操作
密码有效期三个月(可配置),过期提示修改密码,不允许别的操作
口令输入要用密码(*)形式
提交登录后,口令输入框内容要被覆盖,防止被记录
输入框不能提供拷贝功能
口令数据不能明文传输
登录请求不能明文传输口令
涉及用户信息的数据传输内容中,不得包含口令的内容
日志
需要记录登录日志
需要记录登出日志
对单一用户多重并发会话的限制
单个用户多处登录要限制
可配置登录许可次数,默认是1
重新登录后,老的会话要中止
校验码
口令输错三次后,需要出现图形校验码
面向互联网的产品在首次登录即要求输入验证码
校验码随机生成
一次使用后即失效
多次请求验证码,最新的有效,其余失效
不能使用 cookie 与 session 存储验证码
生成验证码时不能根据来自客户端的参数来生成
验证码生成的随机数不能在页面源代码中看到
验证码的校验必须在服务端进行
验证码的形式可选
字符图片
长度为6位数字+字母随机混合
要有随机变化的背景干扰
短信验证码
6位随机数字
默认10分钟内有效,避免重复发送
滑块图像等
锁定策略
连续6次(可配置)登录失败,账号需锁定
锁定30分钟(可配置),超时后自动解锁
管理员可手动解锁
管理员账户不可锁定,防止系统不可用
管理员账户口令要求要更严格
管理员账户名不能包含常用的管理员字符,如admin,root等
锁定、解锁后通过短信(或邮件)通知账户所有人
同时支持两种以上的身份鉴别方式
UKEY 证书登录
密码登录
短信验证码
生物特征
人脸识别
指纹
收藏
收藏
0 条评论
下一页
