1. Tehtävän vaatimuskuvaus
Järjestelmän tai sovelluksen kirjautumismenettelyn olisi oltava suunniteltu siten, että mahdollisuus luvattomaan pääsyyn on mahdollisimman pieni.
Kirjautumismenettelyn olisi siksi paljastettava mahdollisimman vähän tietoa järjestelmästä tai sovelluksesta, jotta luvatonta käyttäjää ei avustettaisi tarpeettomasti. Kriteerejä hyvälle kirjautumismenettelylle ovat mm.:
- kirjautumisesta ei paljastu liittyvä sovellus, ennen kuin yhteys on luotu
- kirjautuminen ei näytä ohje- tai virheviestejä, jotka avustaisivat luvatonta käyttäjää
- kirjautuminen osoittaa tiedot kelvollisiksi vasta, kun kaikki tiedot on syötetty
- kirjautumisessa on estetty väsytyshyökkäysten käyttäminen
- kirjautuminen lokittaa epäonnistuneet ja onnistuneet kirjautumisyritykset
- epäilyttävistä kirjautumisyrityksistä kerrotaan käyttäjälle
- salasanoja ei lähetetä selväkielisenä tekstinä verkossa
- istunto ei kirjautumisen jälkeen jatku ikuisesti