平台用户登录模块安全配置规范

1. 概述

1.1目的

  本文档旨在指导系统开发人员或系统管理人员进行用户登录模块安全问题检查和配置。

1.2适用范围

   本安全配置规范的使用者包括：平台系统管理员、应用管理员、系统开发人员等。

   本安全配置规范适用的范围包括：平台系统的用户登录模块。

2.安全配置要求

2.1校验弱口令

    注册时，为避免出现弱口令，弱密码，如123456，abcd，建议使用长度大于8位、复杂度为大写字符、小写字母、数字、特殊字符至少三种组合的混合的口令。

2.2登录信息加密传输

    用户敏感数据如账号密码避免直接明文传输，应做加密处理

    用户认证信息建议通过https加密信道传输

    用户登录认证时需使用动态密码的方式，或双因子认证

2.3登录错误模糊提示

     用户登录信息输入错误，避免出现“用户名错误” 、“密码错误” 、““用户名和密码对不上”，应该模糊提示，例如 用户名或密码错误

2.4登录模块代码安全性

    登录模块代码符合安全规范要求，避免出现sql注入漏洞

2.5登录次数限制

    限制密码尝试登录次数限制，例如5次密码输入错误，账号登录锁定

    限制用户尝试登录次数限制，例如5次用户名输入错误，账号登录锁定

2.6验证码要求

    采用复杂的验证码，防止图片验证码被识别

    设置验证码过期时间，及时销毁会话，避免验证码复用

    进行非空判断，避免验证过程中验证码为空的情况

2.7短信邮件验证

    添加短信邮件发送限制，避免短信邮件轰炸

    短信邮件采用复杂的验证码，例如：6位数字加字母的组合，并设置验证码有效期