MO-87, Controleren uniciteit uitgegeven codes en tokens
1. Probleemstelling
Door een security incident is duidelijk geworden dat de beschrijvingen in het afsprakenstelsel rondom autorisatie vragen opwekt. Uitgegeven codes en tokens moeten uniek zijn, maar dit wordt nergens goed getest.
2. Oplossingsrichtingen
Controle tijdens de initiële pentest
Controle tijdens audits
Controle tijdens acceptatie
3. Gekozen oplossingsrichting
Vanuit pentests kan verwacht worden dat hierbij ook delen van de code worden gecontroleerd, is dit de meest logische plek in het totale proces. Daarom zal norm A.18.2.3 gewijzigd worden, waarbij een nieuwe eis aan de minimale set wordt toegevoegd. Dit geldt natuurlijk alleen voor de uitgevende partij en dus de DVA.