配置与策略安全
========================================

认证策略
----------------------------------------

密码策略
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
- 未限制密码最低位数
- 未限制密码必须包含字符集
- 为常用密码
- 个人信息相关
    - 手机号
    - 生日
    - 姓名
    - 用户名
- 未检测常见弱密码
    - 已泄露的常用密码
    - 键盘模式

加密实现
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
- 在客户端存储私钥

权限配置
----------------------------------------
- 运维人员权限粒度过大
- 客服人员权限粒度过大

供应链安全
----------------------------------------

三方认证
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
- 利用被攻击的第三方服务账号登录其他平台账号

三方库/软件
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
- 公开漏洞后没有及时更新