Quando uscire da un utente? [chiuso]

2

Sto lavorando a un progetto di sicurezza che fornisce un controllo da amministratore su determinati dispositivi di un'azienda.

Quando si utilizza il prodotto basato sul Web, l'utente cambia contesto e apre un'altra scheda o salta in un'altra scheda, a che ora è necessario disconnettere l'utente e forzare la re-credentialling per continuare a lavorare? Dato che l'ambiente in cui si troverà l'utente è per lo più all'interno dell'azienda, presupponevo un tempo di 5 minuti dopo il quale l'utente si disconnetteva.

La preoccupazione che abbiamo è che uno spettatore non autorizzato possa utilizzare il dispositivo e ottenere l'accesso al prodotto dell'azienda.

    
posta AmpleUX 10.09.2018 - 13:04
fonte

1 risposta

1

Questo è un compromesso tra usabilità e sicurezza e quindi non esiste una risposta "giusta". Tuttavia, ci sono alcune linee guida.

PCI DSS dice 15 minuti al massimo:

For a sample of system components, inspect system configuration settings to verify that system/session idle time out features have been set to 15 minutes or less.

ASP.NET ha un timeout predefinito di 20 minuti.

Per PHP il timeout predefinito è di 24 minuti, ma questo è quasi certamente per errore .

Alcune applicazioni web (Facebook, Gmail) non hanno affatto un timeout di sessione inattiva. Se vuoi un timeout inattivo, circa 15 o 20 minuti sembra ragionevole.

    
risposta data 10.09.2018 - 13:51
fonte

Leggi altre domande sui tag