agievich
commented
2 years ago Требование УА.2 исключено (https://github.com/bcrypto/bias/commit/51359f92ddb591f28bde1e36b1bea3f92a713a74). Требование УА.3 распространено на уровень 1.
Closed mkazl closed 1 year ago
agievich
commented
2 years ago Требование УА.2 исключено (https://github.com/bcrypto/bias/commit/51359f92ddb591f28bde1e36b1bea3f92a713a74). Требование УА.3 распространено на уровень 1.
Структурный элемент стандарта: раздел 6, п. 6.2.2
В требовании УА.2 разрешается хранить хэш-значения секретов аутентификации. Такой подход к защите секретов аутентификации является потенциально опасным, так как многие пользователи могут использовать один и тот же статический пароль в системах обеспечивающих различные уровни гарантий (1, 2 и даже 3).
Предлагается исключить данное требование УА2 и распространить требование УА.3 на уровень гарантий 1.