В требовании УА.2 разрешается хранить хэш-значения секретов аутентификации. Такой подход к защите секретов аутентификации является потенциально опасным, так как многие пользователи могут использовать один и тот же статический пароль в системах обеспечивающих различные уровни гарантий (1, 2 и даже 3).
Предлагается исключить данное требование УА2 и распространить требование УА.3 на уровень гарантий 1.
Структурный элемент стандарта: раздел 6, п. 6.2.2
В требовании УА.2 разрешается хранить хэш-значения секретов аутентификации. Такой подход к защите секретов аутентификации является потенциально опасным, так как многие пользователи могут использовать один и тот же статический пароль в системах обеспечивающих различные уровни гарантий (1, 2 и даже 3).
Предлагается исключить данное требование УА2 и распространить требование УА.3 на уровень гарантий 1.