Desde OWASP:
Para minimizar el período de tiempo que un atacante puede lanzar ataques
Durante las sesiones activas y secuestrarlas, es obligatorio establecer
Tiempos de expiración para cada sesión, estableciendo la cantidad de tiempo
una sesión permanecerá activa. Insuficiente expiración de sesión por el
aplicación web aumenta la exposición de otros ataques basados en sesión,
en cuanto al atacante para poder reutilizar un identificador de sesión válido y secuestrar
la sesión asociada, todavía debe estar activa.
Todo depende del apetito de riesgo de la organización. Cada organización realizará una evaluación de riesgos y decidirá qué tipo de datos están protegiendo y qué encuentran aceptables para sus clientes en términos de usabilidad. Por ejemplo, es posible que Gmail no expire sus sesiones porque se considera que el beneficio de los usuarios no tener que iniciar sesión cada vez genera más ingresos que las pérdidas de reputación que tienen cuando se piratea una cuenta de Gmail debido a cookies no caducadas. Por supuesto, el contenido de una bandeja de entrada de correo electrónico puede ser delicado o puede no serlo, es discutible.
Las solicitudes bancarias, por otro lado, están en el 99% de los casos que contienen dinero. Además, el emblema de reputación de "hackear al cliente del banco X" genera mucha más inquietud que el ejemplo de Gmail. Los clientes comenzarán a llamar al banco preocupado, podrían perder clientes que crean que su sistema no es seguro, etc. ...
Al final, solo tiene que ver sus amenazas y vulnerabilidades y evaluar cuál es el costo y el beneficio de implementar controles atenuantes (que en este caso es la fecha de vencimiento de una sesión).