Noen tekniske sikkerhetsrelaterte krav

[tellnes]

Passordhåntering

Dette forutsetter at vi gjør brukerauthentiseringen selv og ikke outsourcer dette til f.eks. ITK.

• [ ] bcrypt, pbkdf2 eller scrypt
• [ ] Minimum krav om 8 tegn, ingen ting annet

Nice to have

• [ ] Advarsel hvis et ofte brukt passord benyttes (f.eks. http://www.symantec.com/connect/blogs/top-500-worst-passwords-all-time)
• [ ] Tofaktor

HTTPS / TLS

Jeg gidder ikke å liste opp alle best pratices her nå, men tar noen ting. Vi bør følge anbefalingene i [TLSBCP].

• [ ] HSTS
• [ ] sha2 signaturer
• [ ] http -> https redirect