9 Kiểm soát truy cập
9.5.2 Các thủ tục nhập vào thiết bị đầu cuố
Truy cập tới các dịch vụ thơng tin nên khả thi thơng qua một q trình đăng nhập an tồn thủ tục cho việc vào hệ thống máy tính nên được thiết kế để giảm thiểu tối đa cơ hội truy cập trái phép. Như vậy thủ tục đăng nhập nên đưa ra tối thiểu các thơng tin về hệ thống để tránh có một người sử dụng trái phép với hỗ trợ không cần thiết. Thủ tục đăng nhập nên:
a) khơng trình bày các từ định danh hệ thống hoặc ứng dụng cho đến khi q trình đăng nhập hồn tất;
b) đưa ra một cảnh báo chung rằng máy tính chỉ nên truy cập bởi những ngưới sử dụng được phép; c) khơng cung cấp các thơng điệp gíp đỡ trong khi thủ tục đăng nhập chưa xong vì nó có thể giúp một người sử dụng trái phép;
d) xác định giá trị thơng tin đăng nhập chỉ khi hồn tất tồn bộ dữ liệu đầu vào. Nếu có trường hợp lỗi phát sinh, hệ thống không nên chỉ ra phần dữ liệu nào đúng hoặc không đúng;
e) hạn chế số lần thử đăng nhập không thành công cho phép (nên là 3) và xem xét: 1) ghi lại các lần thử khơng thành cơng;
2) áp buộc một thời hạn hỗn trước khi các lần thử đăng nhập tiếp được phép hoặc từ chối mọi lần thử tiếp nếu không được cấp phép cụ thể;
3) không kết nối các kết nối dữ liệu liên quan;
f) giới hạn thời gian tối đa và tối thiểu được phép cho thủ tục đăng nhập. Nếu quá hệ thống sẽ huỷ bỏ đăng nhập;
g) đưa ra các thông tin sau để hồn thành một đăng nhập thành cơng: 1) ngày và thời gian lần đăng nhập thành công trước;
2) chi tiết của các lần thử đăng nhập khơng thành cơng tính từ lần đăng nhập thành công gần nhất.