1.7.1  建立用户证书

实施强密码

þ 应用确实允许并实施强密码吗？

þ 应用确实需要用户名和密码吗？

避免使用易于猜测的证书

þ 应用避免了使用连续的用户账号吗？

þ 账号或用户名是否遵循可预测的模式？

þ 是客服人员为用户选择密码，而不是用户选择自己的密码吗？

þ 系统是否创建了默认的密码？

防止证书获取

þ 账号或用户名是否遵循可预测的模式？

þ 可标志的账号或用户名是否作为URL上的查询字符串进行传递？

þ 账号和用户名是否毫无必要地出现在HTML页面上？

限制空闲的账户

þ 系统是否有大量空闲的账户？

þ 是否可以确定另一个用户的账户活动？

þ 在主要的账户改变后，是否会通过电子邮件通知用户？