1. 保护用户认证信息和共享的传输中和存储中的秘密;(比如最近CSDN、天涯社区数据库被曝,用户密码就是明文存储,没有保护措施)
附:CSDN、天涯社区道歉信
2. 在现实中隐藏所有保密信息(即,密码,帐户) ;
3. 在一定数量的登录失败后,锁定用户帐号;
4. 用户登录失败后不显示具体失败信息;
5. 只允许输入由字母数字并且包含特殊字符组成的至少六个字符的密码,以限制攻击层面
6. 用户要修改密码,必须通过旧密码、新密码、对密码问题的回答的验证,以防止通过密码修改功能对密码进行穷举(Brute Force)搜索攻击。
7. 采用密码重置功能时,系统将临时密码发送到你指定的邮箱之前,需验证用户注册时的用户名和邮箱地址。该临时密码只能使用一次。一个密码重置的网页链接将发送给用户。密码重置网页应该验证用户的临时密码,新密码,以及用户对密码问题的回答
【备注】以上内容来自《OWASP测试指南(中文版)》。