Requirement ID : V2.2
Requirement Name : General Authenticator Requirements
OTG #1 : Verify that the use of weak authenticators (such as SMS and email)
ตรวจสอบว่าการควบคุมการต่อต้านอัตโนมัติมีประสิทธิภาพในการบรรเทาการทดสอบข้อมูลประจำตัวที่ละเมิดการบังคับเดรัจฉานและการปิดล็อคบัญชี การควบคุมดังกล่าวรวมถึงการปิดกั้นรหัสผ่านที่ใช้บ่อยที่สุดการล็อคซอฟต์การ จำกัด อัตรา CAPTCHA ความล่าช้าที่เพิ่มขึ้นระหว่างความพยายามข้อ จำกัด ที่อยู่ IP หรือข้อ จำกัด ด้านความเสี่ยงเช่นสถานที่การเข้าสู่ระบบครั้งแรกในอุปกรณ์ หรือคล้ายกัน ตรวจสอบว่ามีความพยายามที่ล้มเหลวไม่เกิน 100 ครั้งต่อชั่วโมงในบัญชีเดียว
OTG #2 : Verify that anti-automation controls are effective at mitigating breached credential testing, brute force, and account lockout attacks.
ตรวจสอบว่าการใช้ตัวรับรองความถูกต้องที่อ่อนแอ (เช่น SMS และอีเมล) นั้น จำกัด อยู่ที่การตรวจสอบรองและการอนุมัติการทำธุรกรรมและไม่ใช่วิธีการรับรองความถูกต้องที่ปลอดภัยกว่า ตรวจสอบว่ามีการเสนอวิธีการที่แข็งแกร่งกว่าวิธีการที่อ่อนแอผู้ใช้รับทราบถึงความเสี่ยงหรือมีมาตรการที่เหมาะสมเพื่อจำกัดความเสี่ยงของการประนีประนอมบัญชี