Perché i siti Web bancari ti disconnettono sempre dopo un periodo di inattività?

Naviga le tue risposte
5

Sembra che ogni singolo banking & sito web finanziario che ho usato mi disconnette dopo un certo periodo di tempo.

Esistono requisiti legali o motivi tecnici per i siti finanziari per fare ciò? O è solo la loro forma di "sicurezza" per impedire ad altri di accedere al tuo account nel caso dovessi dimenticare di disconnettere o proteggere il tuo computer o dispositivo?

Questa è un'esperienza utente molto povera secondo me. Google non mi disconnette dopo un così breve periodo di tempo e ritengo che il mio account Google con 2- La verifica dei passaggi e una legione di ingegneri estremamente intelligenti è molto più sicura dei miei conti bancari.

Sembra che dovrei essere in grado di scegliere se questi siti mi disconnettano automaticamente o se posso rimanere connesso per un periodo di tempo ragionevole (30 - 90 giorni sono comuni per altri siti).

Modifica :

Credo che la risposta selezionata sia la risposta più completa alla domanda, ma nessuno dei motivi sembra essere buoni motivi per le banche di terminare la sessione.

Ci sono un paio di livelli di rischio associati a un utente malintenzionato che accede alla sessione del tuo sito web bancario:

  1. visualizzazione delle informazioni private (finanziarie)
  2. modifica del tuo account (ciò include il furto di denaro, il blocco di te stesso, ecc.)

Questa stessa situazione esiste su qualsiasi account di un sito Web, ma per i siti Web finanziari e per la maggior parte delle persone, il n. 2 è molto più grave rispetto ad altri tipi di siti.

Penso che una soluzione migliore rispetto al log degli utenti sarebbe:

  1. predefinisce il timeout della sessione con una breve durata
  2. consente all'utente di modificare il timeout della sessione per il proprio account
  3. richiede la nuova autenticazione per le azioni che modificano l'account o trasferiscono denaro intorno a
posta mkopala 02.04.2014 - 00:41
fonte

5 risposte

12

È per la tua sicurezza. In questo modo le persone non possono rimanere accidentalmente loggate nel loro account, quindi chiunque abbia accesso al tuo computer ha pieno accesso al tuo conto bancario.

In questo modo i ladri non hanno la motivazione di irrompere in casa per rubare il tuo computer non solo per il valore del computer, ma potenzialmente per ottenere l'accesso ai risparmi della tua vita e utilizzarlo per acquistare oggetti, trasferire fondi dal paese, ecc. (Sì, potrebbero entrare in azione, installare keylogger e potenzialmente fare lo stesso attacco).

Gli utenti di Power Gmail controlleranno i loro account di posta elettronica centinaia di volte al giorno; dover effettuare nuovamente il login ogni volta sarebbe eccessivamente oneroso. Il tuo conto bancario ti serve solo accedere raramente; forse per 10 minuti una volta alla settimana o al mese.

Le potenziali ripercussioni di un conto bancario rubato sono in genere più gravi per l'utente medio rispetto alle ripercussioni di furto del tuo account email.

Per non dire che perdere il tuo account di posta elettronica non può avere ripercussioni gravi (specialmente se puoi usare la tua email per reimpostare le password, usare come parte dell'autenticazione a 2 fattori, usare per l'ingegneria sociale, ecc.)

    
risposta data 02.04.2014 - 04:29
fonte
3

La scadenza della sessione è incorporata nelle applicazioni per salvaguardare l'utente dal furto di sessioni o dai furti di cookie.

Non tutti gli utenti sono esperti di tecnologia e potrebbero non capire quali sono i furti di sessione o i furti di cookie. Quindi, forzare gli utenti ad accedere ogni pochi minuti di inattività è per salvaguardare le informazioni degli utenti.

Le applicazioni bancarie utilizzano cookie e sessioni per mantenere lo stato dell'utente e la sicurezza. Disattivare i cookie dopo pochi minuti di inattività rende impossibile l'accesso da parte dell'hacker che ha rubato il cookie.

    
risposta data 02.04.2014 - 01:29
fonte
3

Oltre alle risposte di cui sopra, è anche per impedire che le persone saltino sul tuo computer se sei lontano dal tuo computer.

Ad esempio, se Bob accede al proprio sistema bancario online sul posto di lavoro, decide di prendere un caffè senza bloccare prima la workstation; allora chiunque potrebbe passare e saltare direttamente nel suo conto in banca.

Con la scadenza / disconnessione di X minuti, questo problema si riduce notevolmente se Bob viene distratto con altre attività.

    
risposta data 02.04.2014 - 11:39
fonte
3

Se la tua banca emette carte di credito, deve mantenere la conformità PCI-DSS.

Requisiti PCI-DSS 8.1.8 afferma:

8.1.8 If a session has been idle for more than 15 minutes, require the user to re-authenticate to re-activate the terminal or session.

    
risposta data 03.01.2017 - 07:10
fonte
0

La maggior parte degli stack IT bancari sono obsoleti e sono case di carte in attesa di cadere. Qualcosa di semplice come implementare un timeout di sessione configurabile e chiedere di riautenticare su azioni sensibili è facile su uno stack sensato, ma è uno sforzo tremendo su 30 anni di mainframe con un strong odore di COBOL.

Un altro punto da considerare è che data l'attuale assenza di concorrenza (tutte le banche sono cattive in termini di UX), non vi è alcun incentivo aziendale a giustificare "sprecare" tempo di sviluppo su questo.

    
risposta data 03.01.2017 - 08:51
fonte

Leggi altre domande sui tag

Risoluzione di un indirizzo IP di una macchina remota al suo indirizzo MAC Tre tentativi di bloccare l'accesso sono una buona idea?