| Je přihlašovací proces chráněn proti vertikálnímu guessingu? |
| Je přihlašovací proces chráněn proti horizontálnímu guessingu? |
| Je zpožďována odpověď za účelem zpomalování guessing útoků? |
| Není časový rozdíl ve zpožďování kladné a záporné odpovědi? |
| Je po neúspěšné autentizaci vrácena stejná informace v případě zadání špatného jména i hesla? |
| Je přihlašovací proces chráněn před útoky typu CSRF? |
| Je zadávané heslo schováno pod hvězdičkami? |
| Nereflektuje se zadané heslo v odpovědi (například v obsahu formuláře při chybném zadání)? |
| Neobsahuje přihlašovací požadavek parametr pro přesměrování po loginu, který by trpěl na Open Redirect? |
| Není přihlašovací formulář náchylný na reflektovaný XSS? |
| Není přihlašovací formulář náchylný na SQL injection? |
| Nebyla by pro danou aplikaci vhodná vícefaktorová autentizace? |
| Není možné zneužít vícefaktorovou autentizaci pro zahlcení e-mailu nebo telefonního čísla? |
| Nedojde po několika neúspěšných pokusech o přihlášení k zablokování uživatelského účtu? |
| Nedojde po několika neúspěšných pokusech o přihlášení k zablokování IP adresy? |
| Chová se přihlašovací skript při použití bezchybně, pokud jsme již přihlášeni? |
| Je přihlašovací formulář načítán přes HTTPS? |
| Je přihlašovací formulář odesílán přes HTTPS? |
| Není logování přihlášení zranitelné na SQL injekci v hlavičce Referer, User-Agent, X-Forwarded-For, nebo v loginu? |
| Není logování přihlášení zranitelné na Blind XSS v hlavičce Referer, User-Agent, X-Forwarded-For, v loginu, apd.? |
| Jsou uživateli k dispozici logy o posledních přihlášeních? |
| Nejsou informace o posledních přihlášeních náchylné na stored XSS? |
| Vyžadují všechny stránky, které mají být dostupné až po přihlášení, skutečně autentizaci? |
| Není možné se přihlásit na standardní nebo testovací účty s defaultními hesly (admin/admin, test/test, apd.)? |
| Jsou všechny kontroly vstupů uplatňovány na straně serveru? |