¿Cuándo cerrar la sesión de un usuario? [cerrado]

2

Estoy trabajando en un proyecto de seguridad que otorga a un administrador el control de ciertos dispositivos en una empresa.

Al usar el producto basado en la web, digamos que el usuario cambia de contexto y abre otra pestaña o salta a otra pestaña. ¿A qué hora debemos cerrar la sesión del usuario y forzar la credencialización para continuar trabajando? Dado que el entorno en el que se encontrará el usuario es mayormente dentro de la empresa, asumí un tiempo de 5 minutos, luego de lo cual el usuario se desconecta.

La preocupación que tenemos es que un espectador no autorizado podría usar el dispositivo y obtener acceso al producto de la compañía.

    
pregunta AmpleUX 10.09.2018 - 13:04
fuente

1 respuesta

1

Esta es una compensación entre usabilidad y seguridad y, por lo tanto, no hay una respuesta "correcta". Sin embargo, hay algunas pautas.

PCI DSS dice 15 minutos como máximo:

  

Para una muestra de componentes del sistema, inspeccione el sistema   ajustes de configuración para verificar que el tiempo de inactividad del sistema / sesión   las funciones se han establecido en 15 minutos o menos.

ASP.NET tiene un tiempo de espera predeterminado de 20 minutos.

Para PHP, el tiempo de espera predeterminado es de 24 minutos, pero es casi seguro que es por accidente .

Algunas aplicaciones web (Facebook, Gmail) no tienen ningún tiempo de espera de sesión inactiva. Si desea un tiempo de espera inactivo, alrededor de 15 o 20 minutos parece razonable.

    
respondido por el Sjoerd 10.09.2018 - 13:51
fuente

Lea otras preguntas en las etiquetas