نکات مهم احراز هویت کاربران برای دریافت گواهی افتا

در این بخش از موارد مربوط به رعایت الزامات امنیتی نرم افزار، به مباحث مربوط به شناسایی و احراز هویت کاربران می پردازیم. طبیعتا تمامی سیستم های نرم افزاری ساز و کاری جهت شناسایی کاربران دارند که باید طبق اصول استانداردی صورت گیرد. در این ویدئو تمامی نکات مربوط به احراز هویت بررسی شده است:

 

در جلسات قبل بررسی کردیم که محصول باید بخشی تحت عنوان پیکربندی امنیتی پروژه برای کاربر ارشد فراهم نماید تا در آن ساز و کار های امنیتی پروژه تعریف شود. در این بخش توانایی های نرم افزار در فرآیند احراز هویت قبل یا بعد از ایجاد نشست کاربر بررسی می شود. در واقع هر محصول نرم افزاری باید بتواند تعداد تلاش های ناموفق کاربر را ذخیره کرده و در صورتی که از تعداد تلاش تعریف شده در پیکربندی بیشتر شد، شرایطی جهت محدود کردن درخواست های کاربر اعمال نماید. بدین صورت می توان از حملاتی که به سبک آزمون خطا یا “brute-force” انجام می شود، جلوگیری کرد.

همچنین در یک محصول نرم افزاری ایمن، باید امکانی جهت تعریف سایر پارامتر های احراز هویت علاوه بر نام کاربری و کلمه عبور مهیا کرد که بتوان در شرایط مورد نیاز محدودیت هایی از قبیل آی پی، بازه زمانی ورود، احراز هویت دوفاکتوری، تعداد تلاش های نا موفق و… را در نظر گرفت.

یکی از مهمترین نکات در یکم سامانه نرم افزاری ایمن، امکان مدیریت نشست های همزمان یا جلوگیری از ایجاد نشست همرمان در محصول می باشد. بعنوان مثال کاربری تحت عنوان “مدیر” با نام کاربری “admin” و کلمه عبور “1x^3~456” در سامانه تعریف شده و این کاربر وارد حساب کاربری خودش می شود. در این شرایط محصول نباید اجازه ایجاد نشست جدید برای همین کاربر دهد یا در شرایطی باید کاربر قبلی را خارج یا به وی پیام هشدار جهت استفاده از مشخصات حساب کاربری دهد و همچنین بتواند سابقه ورود به حساب کاربری خودش را بررسی نماید.

در پیکربندی امنیتی محصول نرم افزاری باید امکانی جهت پیکربندی کلمه عبور وجود داشته باشد تا مدیر ارشد بتواند سیاست های لازم برای کلمه عبور (طول کلمه عبور، استفاده از کاراکتر های خاص، الزام استفاده از اعداد، حروف کوچک، حروف بزرگ و…) را تعریف کند. علاوه بر این، محصول نرم افزاری باید بصورت پایه ای بخشی از این سیاست ها را حتی بدون تعریف مدیر ارشد اعمل کند. بنابر این کاربر نباید بتواند از کارکتر های متوالی (“…12345” و “abcde…” و “qwer…” ) یا سایر اطلاعات هویتی خودش ( نام یا نام خانوادگی، کد ملی، شماره موبایل، ایمیل و…) در انتخاب کلمه عبور حساب کاربری استفاده نماید.

در صورت نیاز به دمو محصولات یا توضیحات تکمیلی، فرم زیر را تکمیل نمایید.

درخواست پشتیبانی با تکمیل فرم زیر:
این فیلد را پر کنید
این فیلد را پر کنید
این فیلد را پر کنید