Durante los últimos días estuve experimentando con dejar que mi computadora portátil hibernara en lugar de apagarme a diario (siempre he sido un tipo de apagado, pero estoy intentando actualizarme). Mientras viajaba por negocios, utilicé la VPN corporativa para volver a conectarme a la red de la empresa para correo electrónico, acceso a archivos, etc. Ingresé a nuestra VPN usando un token de software que requiere un PIN para obtener la contraseña de inicio de sesión secundaria (un número pseudoaleatorio). Durante los dos días siguientes cambié mi ubicación y mi red WiFi varias veces, simplemente hibernando la computadora portátil y nunca la apagué. Esperaba que la conexión VPN persistiera durante breves tiempos de hibernación (por ejemplo, una hora más o menos), pero me sorprendió mucho cuando, después de 8 horas de hibernación durante la noche, la conexión VPN había persistido. Nunca tuve que volver a ingresar el número desde el token de software. Esperaba un mensaje como "perdón - se acabó el tiempo. Vuelva a ingresar su clave de token"
Miré tanto en Information Security Stack Exchange como en línea en general y no encontré ninguna guía clara. Noté que varias organizaciones que proporcionan VPN, como las universidades, establecen claramente en sus Preguntas Frecuentes sobre VPN que la VPN expiraría después de 8 horas y los usuarios tendrían que volver a ingresar sus credenciales.
Veo una vulnerabilidad: si alguien tenía mi contraseña de inicio de sesión (la cual escribo cada vez para reactivar la computadora, por lo que simplemente podrían grabarme un video al ingresar) y luego obtiene la computadora, ahora tienen acceso VPN a mi empresa. . Me parece que derrotar el propósito de la ficha suave.
¿Se considera una práctica recomendada de seguridad "suspender" la conexión VPN de forma predeterminada, lo que obliga a volver a ingresar la credencial? Si es así, ¿cuál sería un buen período de referencia para computadoras portátiles en viajes de negocios?