Letra (C).
----------
1.5.1 Como deve ser projetado um processo de logon para ser considerado eficiente?
O procedimento de logon deve divulgar o mínimo de informações sobre o sistema, evitando fornecer a um usuário não autorizado informações detalhadas. Um procedimento de logon eficiente deve:
>> informar que o computador só deve ser acessado por pessoas autorizadas;
>> evitar identificar o sistema ou suas aplicações até que o processo de logon esteja completamente concluído;
>> durante o processo de logon, evitar o fornecimento de mensagens de ajuda que poderiam auxiliar um usuário não autorizado a completar esse procedimento;
>> validar a informação de logon apenas quando todos os dados de entrada estiverem completos. Caso ocorra algum erro, o sistema não deve indicar qual parte do dado de entrada está correta ou incorreta, como, por exemplo, ID ou senha;
>> limitar o número de tentativas de logon sem sucesso (é recomendado um máximo de três tentativas), e ainda:
a) registrar as tentativas de acesso inválidas;
b) forçar um tempo de espera antes de permitir novas tentativas de entrada no sistema ou rejeitar qualquer tentativa posterior de acesso sem autorização específica;
c) encerrar as conexões com o computador.
>> limitar o tempo máximo para o procedimento de logon. Se excedido, o sistema deverá encerrar o procedimento;
>> mostrar as seguintes informações, quando o procedimento de logon no sistema finalizar com êxito:
a) data e hora do último logon com sucesso;
b) detalhes de qualquer tentativa de logon sem sucesso, desde o último procedimento realizado com sucesso.
----------
"Um resumo."
At.te, CW.
Fonte:
BOAS PRÁTICAS EM SEGURANÇA DA INFORMAÇÃO. http://portal2.tcu.gov.br/portal/pls/portal/docs/2059162.PDF