1.7.3  重新设置丢失或被遗忘的密码

重新设置密码

þ 系统是否只允许重新设置密码，而不是找回密码？

þ 系统是否需要用户回答秘密问题或其他问题，以此来重新设置密码？

þ 系统是否发送电子邮件以确认密码改变？

通过电子邮件发送信息

þ 系统是否避免通过电子邮件发送敏感信息？

分配临时密码

þ 如果使用临时密码，则系统是否使用强随机密码算法？

þ 如果系统使用临时密码，则这些密码是否有较短的过期时间？

使用秘密问题

þ 是否将秘密问题等同于密码来对待？

þ 秘密问题是否有大量可能的答案？

þ 系统是否避免使用带有共同答案的秘密问题？

þ 系统是否防止用户设置自己的秘密问题？