O.Pass 2: Unterschied zwischen den Versionen
D.hack (Diskussion | Beiträge) Keine Bearbeitungszusammenfassung |
D.hack (Diskussion | Beiträge) Keine Bearbeitungszusammenfassung |
||
Zeile 1: | Zeile 1: | ||
== Beschreibung == | == Beschreibung == | ||
[[Beschreibung:: | |||
Für die Authentifizierung mittels Benutzername und Passwort KANN die Stärke des verwendeten Passworts dem Nutzer angezeigt werden. Informationen über die Stärke des gewählten Passworts DÜRFEN NICHT in der Web-Anwendung oder im Hintergrundsystem persistiert werden. | Für die Authentifizierung mittels Benutzername und Passwort KANN die Stärke des verwendeten Passworts dem Nutzer angezeigt werden. Informationen über die Stärke des gewählten Passworts DÜRFEN NICHT in der Web-Anwendung oder im Hintergrundsystem persistiert werden. | ||
]] | |||
== Kurzfassung == | == Kurzfassung == | ||
[[Kurzfassung:: | |||
Anzeige der Stärke des verwendeten Passworts. | Anzeige der Stärke des verwendeten Passworts. | ||
]] | |||
== Testcharakteristik == | == Testcharakteristik == | ||
==== Prüftiefe ==== | ==== Prüftiefe ==== | ||
Zeile 20: | Zeile 21: | ||
<br /> | <br /> | ||
==== Ergänzende Informationen für Evaluatoren ==== | ==== Ergänzende Informationen für Evaluatoren ==== | ||
[[Anmerkungen:: | |||
Der Evaluator prüft, ob dem Nutzer die Stärke des verwendeten Passworts angezeigt wird. Ist dies der Fall, prüft er durch Quelltextanalyse und praktische Tests, ob dadurch Informationen über das Password oder dessen Güte im Anwendungsspeicher oder Hintergrundsystem verbleiben. Für die Prüfung des Hintergrundsystems ist eine Überwachung der verwendeten Kommunikationskanäle im praktischen Test und eine Quelltextanalyse der Anwendung ausreichend. | Der Evaluator prüft, ob dem Nutzer die Stärke des verwendeten Passworts angezeigt wird. Ist dies der Fall, prüft er durch Quelltextanalyse und praktische Tests, ob dadurch Informationen über das Password oder dessen Güte im Anwendungsspeicher oder Hintergrundsystem verbleiben. Für die Prüfung des Hintergrundsystems ist eine Überwachung der verwendeten Kommunikationskanäle im praktischen Test und eine Quelltextanalyse der Anwendung ausreichend. | ||
]] | |||
== Lösungsansätze == | == Lösungsansätze == | ||
Zeile 27: | Zeile 30: | ||
== Ressourcen und Einzelnachweise == | == Ressourcen und Einzelnachweise == | ||
[[Category:EXAMINE]] | [[Category:EXAMINE]] | ||
[[Category: Pass]] | [[Category: Pass]] |
Aktuelle Version vom 26. Juli 2024, 18:13 Uhr
Beschreibung
Für die Authentifizierung mittels Benutzername und Passwort KANN die Stärke des verwendeten Passworts dem Nutzer angezeigt werden. Informationen über die Stärke des gewählten Passworts DÜRFEN NICHT in der Web-Anwendung oder im Hintergrundsystem persistiert werden.
Kurzfassung
Anzeige der Stärke des verwendeten Passworts.
Testcharakteristik
Prüftiefe
Bezeichnung | Mindestanforderungen an die Prüfung |
---|---|
EXAMINE | Der Evaluator untersucht (englisch „examine“, analog zu Begriffsverwendung in der Common Criteria Evaluation Methodology) die betreffende Testcharakteristik. Der Evaluator MUSS in seiner Prüfung über die Mindestanforderungen für „CHECK“ hinausgehen: In der Regel wird dies durch umfassende Quelltextanalyse der relevanten Implementierungsanteile und Penetrationstests geschehen. Die Unterstützung durch den Hersteller kann genutzt werden. „EXAMINE“ erfordert in jedem Fall eine eigenständige Beurteilung durch den Evaluator. |
Ergänzende Informationen für Evaluatoren
Der Evaluator prüft, ob dem Nutzer die Stärke des verwendeten Passworts angezeigt wird. Ist dies der Fall, prüft er durch Quelltextanalyse und praktische Tests, ob dadurch Informationen über das Password oder dessen Güte im Anwendungsspeicher oder Hintergrundsystem verbleiben. Für die Prüfung des Hintergrundsystems ist eine Überwachung der verwendeten Kommunikationskanäle im praktischen Test und eine Quelltextanalyse der Anwendung ausreichend.