Realmente esse ponto é um OASIS pra fcc...
11.5.1 Procedimentos seguros de entrada no sistema (log-on)
Diretrizes para implementação
Convém que o procedimento para entrada no sistema operacional seja configurado para minimizar a
oportunidade de acessos não autorizados. Convém que o procedimento de entrada (log-on) divulgue o mínimo
de informações sobre o sistema, de forma a evitar o fornecimento de informações desnecessárias a um
usuário não autorizado. Convém que um bom procedimento de entrada no sistema (log-on):
a) não mostre identificadores de sistema ou de aplicação até que o processo tenha sido concluído com
sucesso;
b) mostre um aviso geral informando que o computador seja acessado somente por usuários autorizados;
c) não forneça mensagens de ajuda durante o procedimento de entrada (log-on) que poderiam auxiliar
um usuário não autorizado;
d) valide informações de entrada no sistema somente quando todos os dados de entrada estiverem
completos. Caso ocorra uma condição de erro, convém que o sistema não indique qual parte do dado
de entrada está correta ou incorreta;
e) limite o número permitido de tentativas de entradas no sistema (log-on) sem sucesso, por exemplo,
três tentativas, e considere:
1) registro das tentativas com sucesso ou com falha;
2) imposição do tempo de espera antes de permitir novas tentativas de entrada no sistema (log-on)
ou rejeição de qualquer tentativa posterior de acesso sem autorização específica;
3) encerramento das conexões por data link;
4) envio de uma mensagem de alerta para o console do sistema, se o número máximo de tentativas
de entrada no sistema (log-on) for alcançado;
5) configuração do número de reutilização de senhas alinhado com o tamanho mínimo da senha e o
e o
valor do sistema que está sendo protegido;
f) limite o tempo máximo e mínimo permitido para o procedimento de entrada no sistema (log-on).
Se excedido, convém que o sistema encerre o procedimento;
g) mostre as seguintes informações, quando o procedimento de entrada no sistema (log-on) finalizar com
sucesso:
1) data e hora da última entrada no sistema (log-on) com sucesso;
2) detalhes de qualquer tentativa sem sucesso de entrada no sistema (log-on) desde o último
acesso com sucesso;
h) não mostre a senha que está sendo informada ou considere ocultar os caracteres da senha por
símbolos;
i) não transmita senhas em texto claro pela rede.
9.4.2 Procedimentos seguros de entrada no sistema (log-on)
a) não mostre identificadores de sistema ou de aplicação até que o processo tenha sido concluído
com sucesso;
b) mostre um aviso geral informando que o computador seja acessado somente por usuários
autorizados;
c) não forneça mensagens de ajuda durante o procedimento de entrada (log-on) que poderiam auxiliar
um usuário não autorizado;
d) valide informações de entrada no sistema somente quando todos os dados de entrada estiverem
completos. Caso ocorra uma condição de erro, o sistema não indique qual parte do dado de
entrada está correto ou incorreto;
e) proteja contra tentativas forçadas de entrada no sistema (log-on);
f) registre tentativas de acesso ao sistema, sem sucesso e bem sucedida;
g) comunique um evento de segurança caso uma tentativa potencial ou uma violação bem sucedida
de entrada no sistema (log-on), seja detectada;
h) mostre as seguintes informações quando o procedimento de entrada no sistema (log-on) finalizar
com sucesso:
1) data e hora da última entrada no sistema (log-on) com sucesso;
2) detalhes de qualquer tentativa sem sucesso de entrada no sistema (log-on) desde o último
acesso com sucesso;
i) não mostre a senha que está sendo informada;
j) não transmita senhas em texto claro pela rede;
k) encerre sessões inativas após um período definido de inatividade, especialmente em locais de alto
risco, tais como, locais públicos, ou àreas externas ao gerenciamento de segurança da organização
ou quando do uso de dispositivos móveis;
l) restrinja os tempos de conexão para fornecer segurança adicional nas aplicações de alto risco e
reduzir a janela de oportunidade para acesso não autorizado.