１.标识与认证

（１）用户账号应具有唯一性，保证应用系统中不存在重复用户账户。

首先分别创建特定的管理员及普通用户账号并保存，再次创建同名且不同角色的账号，检查是否能够成功创建。

（２）账号活动异常时（单个IP在１分钟内尝试登录50次以上，３个月从未登录）锁定用户账号，应支持管理员后台锁定用户账号。

在注册，创建账号与重置密码等功能页面，检查是否有账号锁定机制。
授权管理员能够锁定账号，锁定后，该账户不能再进行登录。
管理员及普通用户账号超过锁定次数后账号变为锁定状态。
管理员及普通用户账号超过３个月未登录状态时变为锁定状态。
针对锁定账号后台可正常解锁或通过手机或邮箱验证可自行解锁成功。

（３）密码要求：不能包含用户信息，至少８个字符以上，至少每６个月更换一次，禁止使用前两次的密码，包含数字、大小写字母、特殊符合，禁止使用弱密码。

在注册，创建账号与重置密码等功能页面，检查是否有密码限定规则，并输入密码进行验证。

（４）对互联接入的展业系统（除了微信、支付宝以外的应用），应采用两种或两种以上的方式进行身份认证：用户名口令，动态密码，USB证书。

检查是否采用了两种认证方式：如短信密码＋USB证书等。

（５）身份验证的失败提示信息采用模糊处理，比如可以使用“用户名或密码错误”，而不要使用“用户名错误”或者“密码错误”。

账号密码，手机号等信息输错后查看提示信息是否做模糊处理。

（６）用于登录验证的口令和用于交易的口令不能一致，图形验证码不得作为独立的身份验证要素。

检验登录验证的口令和用于交易的口令是否一致，图形验证码不作为独立的身份验证要素。

（７）手势密码应至少设置连续不间断的４个点

在APP端对手势密码进行不间断性连接测试，确保手势密码满足连续不间断４个点的认证需求。

（８）密码口令框应默认屏蔽显示，屏蔽显示时应使用同一特殊字符（如＊或．），不应明文显示银行卡密码和网络支付交易密码。

密码口令框输入字符或数字时，显示为特殊字符

（９）若设置初始密码，应强制用户在首次登录后修改初始密码（修改密码不能与初始密码相同）。初始密码应符合强密码要求，并且不能多用户相同，如多用户使用相同初始密码应对账户初始绑定的用户个人身份进行校验（手机，邮箱等）。

检查设置了初始密码的用户首次登录时是否需要进行修改密码，并且新密码不应与初始密码相同。若多个用户使用相同初始密码，修改初始密码时应对用户个人身份进行校验。

（10）应采取有效措施提醒客户避免设置与常用软件、网站相同或相似的用户名和密码组合，并采取有效措施引导客户设置独立的支付密码（注册页面，修改密码页面设置提示可有效避免）。

访问系统查看是否有提醒和引导相关功能。

（11）不应默认保存用户上次的账号及口令信息

用已注册的账号与密码登录本地后，退出，重新登录，若在下拉框选中上次登录的用户名自动带出密码说明存在次漏洞。