При доступе к закрытым областям проверка должна осуществляться при любой попытке доступа к любому адресу закрытой области. Не допустимо возникновение ситуации, при которой существует возможность получить доступ к объекту закрытой области, минуя проверку.
Программное обеспечение не должно допускать возможности использования его для косвенного доступа к закрытым областям или данным. Не должно быть возможности получения содержимого закрытого информационного объекта путем вызова открытых функций Портала с указание адреса закрытого источника.
Должна быть максимально исключена возможность кэширования содержимого страниц, для доступа к которым требуется авторизация.
При использовании механизма учетных записей должна быть четко сформулирована политика и зона доступа для пользователей с теми или иными правами.
При использовании для идентификации вводимых пользователями паролей, должны быть реализованы механизмы проверки пароля на устойчивость к подбору и ограничения попыток ввода некорректного значения учетных записей и паролей. В том случае, если предусматривается механизм смены пароля для пользователей, при смене пароля в обязательном порядке должно запрашиваться его предыдущее значение. При использовании механизма отсылки по электронной почте забытого пароля должна осуществляться проверка на соответствие учетной записи и электронного адреса.
Возможность хранения пароля в тексте процедур или функций, применяемых на Портале, должна быть исключена.
При пересылке паролей, персональных данных пользователей или любой другой конфиденциальной информации необходимо использовать механизм защищенного соединения.
Система не должна предоставлять возможности получить список идентификационных записей, применяемых в системе. В случае необходимости должны использоваться некие псевдонимы учетных записей, для того чтобы исключать использования значений реальных учетных записей для атаки или попытки подбора пароля.