1.2. Идентификация и аутентификация

1.2.1. Отсутствие аутентификации серверной стороны при взаимодействии пользователя с АБС и составных частей АБС между собой.

1.2.2. Взаимодействие составных частей АБС без аутентификации инициатора взаимодействия.

1.2.3. Использование протоколов аутентификации, допускающих незащищенную передачу аутентификационных данных пользователей (в том числе передачу их открытым текстом или с использованием обратимых преобразований).

1.2.4. Выполнение в алгоритмах аутентификации сужающих преобразований аутентификационных данных (например, приведение букв идентификатора пользователя и (или) пароля к одному регистру, ограничение количества значащих символов пароля).

1.2.5. Использование предсказуемых идентификаторов (например, производных от имени и фамилии пользователя, совпадающих с идентификаторами в адресах электронной почты, порядковых номеров, формирование идентификаторов по единому алгоритму).

1.2.6. Отсутствие принудительного ограничения на минимальную сложность паролей (например, ограничение минимальной длины пароля, наличие символов различных классов, несовпадение пароля с идентификатором пользователя, несовпадение нового пароля с одним из ранее использовавшихся).

1.2.7. Использование при создании новых учетных записей единого первоначального пароля или формирование таких паролей по единому алгоритму, а также отсутствие механизма принудительной смены первоначального пароля при первом входе пользователя в систему.

1.2.8. Хранение в АБС паролей пользователей с использованием обратимых преобразований. При несанкционированном доступе нарушителя к ОС или СУБД серверных компонентов АБС приводит к компрометации всех учетных записей данной АБС и отдельных учетных записей в остальных АБС организации БС РФ.

1.2.9. Использование процедур самостоятельного восстановления или смены забытых пользователями паролей.

1.2.10. Отсутствие предварительной аутентификации при смене пароля пользователем. В ряде случаев делает возможным обход аутентификации путем задания нарушителем нового пароля пользователя.

1.2.11. Отображение символов пароля при вводе.

1.2.12. Отсутствие противодействия автоматизированному подбору идентификаторов и паролей пользователей, в том числе:

- отсутствие автоматического временного блокирования учетной записи при превышении заданного количества неуспешных попыток аутентификации;

- отсутствие механизмов, исключающих возможность автоматизированного подбора паролей (например, CAPTCHA).

1.2.13. При автоматическом блокировании учетной записи в случае превышения заданного количества неуспешных попыток аутентификации - отсутствие автоматического разблокирования учетной записи по истечении заданного интервала времени, что позволяет нарушителю блокировать доступ пользователей в АБС.

1.2.14. Необходимость выполнения отдельных программных модулей АБС с правами администратора операционной системы. При наличии уязвимостей программного кода приложения позволяет нарушителю получить полный контроль над приложением и операционной системой.

1.2.15. Аутентификация пользователей средствами программного кода автоматизированного рабочего места (далее - АРМ) при отсутствии аутентификации пользователя серверными компонентами АБС, что делает возможным обход аутентификации нарушителем.

1.2.16. Наличие аутентификационных данных, необходимых для доступа компонентов АБС к прочим АБС организации БС РФ, в программном коде компонентов АБС и (или) в доступных пользователям конфигурационных файлах.

1.2.17. Использование протоколов взаимодействия, уязвимых для перехвата и повторного использования постаутентификационных данных (хеш-значений паролей, идентификаторов сессии, аутентификационных маркеров и т.п.), уязвимых к перехвату и повторному использованию.