4.14. 配置与策略安全

4.14.1. 认证策略

4.14.1.1. 密码策略

  • 未限制密码最低位数

  • 未限制密码必须包含字符集

  • 为常用密码

  • 个人信息相关
    • 手机号

    • 生日

    • 姓名

    • 用户名

  • 未检测常见弱密码
    • 已泄露的常用密码

    • 键盘模式

4.14.1.2. 加密实现

  • 在客户端存储私钥

4.14.2. 权限配置

  • 运维人员权限粒度过大

  • 客服人员权限粒度过大

4.14.3. 供应链安全

4.14.3.1. 三方认证

  • 利用被攻击的第三方服务账号登录其他平台账号

4.14.3.2. 三方库/软件

  • 公开漏洞后没有及时更新