# 认证策略

# 密码策略

• 未限制密码最低位数
• 未限制密码必须包含字符集
• 为常用密码
• 个人信息相关
  • 手机号
  • 生日
  • 姓名
  • 用户名
• 未检测常见弱密码
  • 已泄露的常用密码
  • 键盘模式

# 加密实现

• 在客户端存储私钥

# 权限配置

• 运维人员权限粒度过大
• 客服人员权限粒度过大

# 供应链安全

# 三方认证

• 利用被攻击的第三方服务账号登录其他平台账号

# 三方库 / 软件

• 公开漏洞后没有及时更新