3.2.3.3 Блокировка доступа

Если вызов любого метода СКЗИ для заданного идентификатора хранилища завершается ошибкой, связанной с неверно введенным паролем, ПМ должен:

1. Прервать выполнение метода.

2. Обновить во внутреннем хранилище информацию о том, сколько раз подряд пароль был введен неверно.

3. При достижении 5 неудачных попыток аутентификации необходимо сохранить во внутреннем хранилище время окончания блокировки для данного экземпляра хранилища в UTC, рассчитанное как текущее время + 30 минут. Если ранее время окончания блокировки уже сохранялось, необходимо сохранить новое значение.

4. Вернуть код, соответствующий ошибкам "Истек срок действия пароля" или "Неверный пароль" (см. раздел 3.2.6).

Если пароль введен корректно и выполнен вызов метода СКЗИ, то счетчик неуспешных попыток должен сбрасываться.

Контроль неудачных попыток и блокировка доступа могут быть реализованы на стороне СКЗИ, если СКЗИ предоставляет такую возможность.

Количество неудачных попыток и время блокировки доступа должны настраиваться константами на этапе сборки, храниться в неизменяемых ресурсах и соответствовать правилам использования СКЗИ. Значения параметров могут быть уточнены на этапе разработки ПМ.

Значения по умолчанию:

- количество неудачных попыток - 5;

- время блокировки доступа к криптографическим функциям - 30 минут.