评测结果:不满足。当用户登录账户时,并不会限制登录次数。
20)客户端应用软件应配合服务端提供密码复杂度校验功能,保证用户设置的密码达到一定的强度,避免采用简单交易密码或与客户个人信息相似度过高的交易密码。
评测结果:不满足。用户登录时的密码只需要满足由8-30位英文字母、数字或符号组成即可。
21)应严格限制使用初始登录密码与初始交易密码,若设置初始密码,应强制用户在首次登录后修改初始密码。
评测结果:不满足。
22)在修改密码前,应对用户身份进行重新验证;并且对原密码输入错误次数进行限制。
评测结果:满足。用户在修改登录密码时,需要通过手机号验证、身份证验证、图形验证、手机验证码、姓名验证才能完成密码修改。对于支付密码,用户仅有5次错误输入机会。
23)修改密码时新密码不应与原密码相同。
评测结果:部分满足。支持登陆新密码与原密码相同;不支持支付密码与原密码相同。
24)在密码重置时,应使用短信验证码、用户注册信息校核等方式,对用户身份进行校验;并且采用两种或两种以上要素进行身份认证。
评测结果:满足。用户在修改登录密码时,需要通过手机号、身份证、图形验证、手机验证码4种以上要素才能完成密码修改。
25)应采取有效措施提醒客户避免设置与常用软件、网站相同或相似的用户名和密码组合,并采取有效措施引导客户设置独立的支付密码。
评测结果:满足。不支持连续数字位支付密码,例如“123456;不支持3位以上连续相同数字,例如“111122”。
26)客户端应用软件应实现身份认证过程的防截屏、录屏,如:输入手势验证码、登录口令等。
评测结果:不满足。用户可以通过录屏获取、或截屏获取登录密码或手势密码等。
3. 使用时,判断个人信息是否存在泄露风险。
27)客户端应用软件应提供客户输入信息的即时防护功能,如:卡片验证码、卡片有效期、银行卡账号、身份证号码、手机号码等信息。
评测结果:部分满足。当用户输入银行卡号、身份证号码时,均会被“•”所代替。而用户输入手机号码时,并未有即时防护功能。
28)处于未登录状态时,不应展示与个人信息主体相关的用户鉴别信息(如:卡片验证码、卡 片有效期、登录密码、支付密码等)。
评测结果:满足。
29)处于已登录状态时,个人金融信息展示,除银行卡有效期外,用户鉴别信息(如:卡片验证码、登录密码、支付密码等)不应明文展示。
评测结果:满足。
30)处于已登录状态时,个人金融信息展示 ,对于银行卡号、客户法定名称、手机号码、证件类或其他识别标识信息等可以直接或组合后确定信息主体的信息应进行屏蔽展示,或由用户选择是否屏蔽展示。
评测结果:满足。
31)在提示客户认证失败时,应模糊错误提示信息,防止错误提示信息中泄露用户全部账号、交易金额等敏感数据。
评测结果:满足。
32)除交易对账、转账收款方确认等必须由用户确认的情况外,客户端应用软件在显示个人信息,如: 银行账号、身份证号码、手机号码、姓名等时应屏蔽关键字段。
评测结果:满足
三、评测结果
在37个评测标准中,拉卡拉APP有29项符合标准,有6项不符合,2项部分符合。
扫描二维码加作者微信
关注金融科技&专利
