Negli ultimi giorni stavo sperimentando con il letargo del mio laptop contro lo spegnimento giornaliero (sono sempre stato un ragazzo fermo, ma sto cercando di aggiornarmi). Durante i viaggi di lavoro ho utilizzato la VPN aziendale per riconnettermi alla rete aziendale per e-mail, accesso ai file, ecc. Ho effettuato l'accesso alla nostra VPN utilizzando un soft-token che richiede un PIN per ottenere la password di accesso secondario (a numero pseudo-casuale). Nei due giorni successivi ho cambiato più volte la mia posizione e la rete WiFi, semplicemente ibernando il portatile e non spegnendolo mai. Mi aspettavo che la connessione VPN persistesse per brevi periodi di ibernazione (ad esempio un'ora circa), ma rimasi molto sorpreso quando dopo 8 ore di ibernazione durante la notte, la connessione VPN era persistita. Non ho mai dovuto reinserire il numero dal token software. Mi ero aspettato un messaggio sulla falsariga di "mi dispiace - il tempo scaduto. Reinserisci la chiave token per favore"
Ho guardato sia allo scambio di informazioni sulla sicurezza dello stack sia online in generale e non ho trovato alcuna indicazione chiara. Ho notato che diverse organizzazioni che forniscono VPN, come le università, affermano chiaramente nelle loro domande frequenti sulle VPN che la VPN scadrà dopo 8 ore e gli utenti dovrebbero reinserire le proprie credenziali.
Vedo una vulnerabilità: se qualcuno ha la mia password di accesso (che digito ogni volta per riattivare il computer, in modo che possano semplicemente inserirmi nel video) e poi ottiene il computer, ora hanno accesso VPN nella mia azienda . Mi sembra di sconfiggere lo scopo del token soft.
È considerata una best practice di sicurezza quella di "time out" della connessione VPN su una base predeterminata, forzando il rientro delle credenziali? Se sì, quale sarebbe un buon periodo di riferimento per i laptop sui viaggi d'affari?