OTG-IDENT-002 (사용자 등록 처리 테스트)¶
개요¶
일부 웹 사이트는 사용자에 대한 시스템 액세스 프로비저닝을 자동화(또는 반자동)하는 사용자 등록 프로세스를 제공합니다. 액세스에 대한 ID 요구 사항은 시스템의 보안 요구 사항에 따라 긍정적인 식별에서 전혀 식별하지 않는 것으로 다양합니다. 많은 공개 응용 프로그램은 사용자 기반의 크기로 인해 수동으로 관리 할 수 없기 때문에 등록 및 프로비저닝 프로세스를 완전히 자동화합니다. 그러나 많은 기업 응용 프로그램이 수동으로 사용자를 제공하므로이 테스트 사례는 적용되지 않을 수 있습니다.
테스트 방법¶
사용자 등록에 대한 신원 요구 사항이 비즈니스 및 보안 요구 사항과 일치하는지 확인¶
- 누구나 접속할 수 있습니까?
- 등록은 프로비저닝 이전에 사람이 심사 했습니까? 아니면 기준이 충족되면 자동으로 부여됩니까?
- 동일한 사람 또는 신분증을 여러 번 등록 할 수 있습니까?
- 사용자가 다른 역할이나 권한을 등록 할 수 있습니까?
- 등록을 성공적으로하려면 어떤 신원 증명이 필요합니까?
- 등록된 신원을 확인합니까?
등록 절차 확인¶
- 신원 정보를 위조하거나 위장 할 수 있습니까?
- 신원 정보 교환이 등록 중에 조작 될 수 있습니까?
예제
아래의 WordPress 예에서는 유일한 신원 확인 요구 사항은 등록자가 액세스 할 수있는 전자 메일 주소입니다.
이와 대조적으로 아래의 Google 예에서는 신원 확인 요구 사항에 이름, 생년월일, 국가, 휴대 전화 번호, 이메일 주소 및 보안 문자 응답이 포함됩니다. 이 중 두 가지 (전자 메일 주소 및 휴대폰 번호) 만 확인할 수 있지만 식별 요구 사항은 WordPress보다 엄격합니다.