¿Por qué los sitios web bancarios siempre cierran la sesión después de la inactividad?

Navega tus respuestas
5

Parece que cada banco individual y amp; El sitio web financiero que he usado me desconecta después de un cierto período de tiempo.

¿Existen requisitos legales o razones técnicas para que los sitios financieros hagan esto? ¿O es solo su forma de "seguridad" para evitar que otros accedan a su cuenta en caso de que olvide cerrar sesión o proteger su computadora o dispositivo?

En mi opinión, esta es una experiencia de usuario muy pobre. Google no me desconecta después de un período de tiempo tan corto, y siento que mi cuenta de Google con 2- La verificación de pasos y una legión de ingenieros extremadamente inteligentes son mucho más seguros que mis cuentas bancarias.

Parece que debería poder elegir si estos sitios me desconectan automáticamente o si puedo permanecer conectado durante un período de tiempo razonable (30 a 90 días es común para otros sitios).

Editar :

Creo que la respuesta seleccionada es la respuesta más completa a la pregunta, pero ninguna de las razones parece ser buenas razones para que los bancos finalicen su sesión.

Hay un par de niveles de riesgo asociados con que un atacante obtenga acceso a su sesión de sitio web bancario:

  1. viendo su información privada (financiera)
  2. modificar su cuenta (esto incluye robar dinero, bloquearlo, etc.)

Esta misma situación existe en cualquier cuenta de sitio web, pero para los sitios web financieros, y para la mayoría de las personas, el número 2 es mucho más grave que para otros tipos de sitios.

Creo que una mejor solución que desconectar a los usuarios sería:

  1. por defecto, el tiempo de espera de la sesión es de corta duración
  2. permite al usuario cambiar el tiempo de espera de la sesión para su cuenta
  3. requiere una nueva autenticación para las acciones que modifican la cuenta o mueven dinero alrededor
pregunta mkopala 02.04.2014 - 00:41
fuente

5 respuestas

12

Es por su seguridad. De esta manera, las personas no pueden permanecer conectadas accidentalmente a su cuenta, por lo que cualquier persona con acceso a su computadora tiene acceso completo a su cuenta bancaria.

De esta manera, los ladrones no tienen la motivación de irrumpir en su casa para robar su computadora, no solo por el valor de la computadora, sino también para tener acceso a los ahorros de su vida y usarla para comprar artículos, transferir fondos fuera del país, etc. (Sí, podrían entrar, instalar keyloggers y potencialmente hacer el mismo ataque).

Los usuarios de Power Gmail revisarán sus cuentas de correo electrónico cientos de veces al día; tener que volver a iniciar sesión cada vez sería demasiado engorroso. Tu cuenta bancaria solo necesitas iniciar sesión raramente; tal vez por 10 minutos una vez a la semana o al mes.

Las repercusiones potenciales de una cuenta bancaria robada suelen ser más graves para el usuario promedio que las repercusiones de que le roben su cuenta de correo electrónico.

No quiere decir que perder su cuenta de correo electrónico tampoco pueda tener graves repercusiones (especialmente si puede usar su correo electrónico para restablecer contraseñas, usar como parte de la autenticación de dos factores, usar para ingeniería social, etc.)

    
respondido por el dr jimbob 02.04.2014 - 04:29
fuente
3

La caducidad de la sesión se incorpora a las aplicaciones para proteger al usuario del secuestro de sesión o el robo de cookies.

No todos los usuarios son expertos en tecnología y es posible que no entiendan qué secuestro de sesión o robo de cookies. Por lo tanto, obligar a los usuarios a iniciar sesión cada pocos minutos de inactividad es para salvaguardar la información de los usuarios.

Las aplicaciones bancarias utilizan cookies y sesiones para mantener el estado y la seguridad del usuario. La desactivación de las cookies después de unos pocos minutos de inactividad hace imposible que el pirata informático que robó la cookie también pueda iniciar sesión.

    
respondido por el akr 02.04.2014 - 01:29
fuente
3

Además de las respuestas anteriores, también es para evitar que las personas se suban a tu computadora si estás lejos de tu máquina.

Por ejemplo, si Bob inicia sesión en su banca en línea en su lugar de trabajo, entonces decide tomar un café sin bloquear primero su estación de trabajo; entonces cualquiera podría pasar y saltar directamente a su cuenta bancaria.

Con el vencimiento / cierre de sesión de X minutos, este problema se reduce considerablemente si Bob se distrae con otras tareas.

    
respondido por el Ben Poulson 02.04.2014 - 11:39
fuente
3

Si su banco emite tarjetas de crédito, debe mantener el cumplimiento de PCI-DSS.

Requisito de PCI-DSS 8.1.8 estados:

  

8.1.8 Si una sesión ha estado inactiva durante más de 15 minutos, solicite al usuario   para volver a autenticarse para reactivar el terminal o la sesión.

    
respondido por el John Wu 03.01.2017 - 07:10
fuente
0

La mayoría de las pilas de TI bancarias están desactualizadas y son casas de cartas en espera de caer. Algo tan fácil como implementar un tiempo de espera de sesión configurable y solicitar una nueva autenticación en acciones sensibles es fácil en una pila sana, pero es un esfuerzo tremendo en mainframes de 30 años con un fuerte olor a COBOL.

Otro punto a considerar es que, dada la actual ausencia de competencia (todos los bancos son malos en términos de UX), no existe un incentivo comercial para que justifiquen "perder" el tiempo del desarrollador en esto.

    
respondido por el André Borie 03.01.2017 - 08:51
fuente

Lea otras preguntas en las etiquetas

¿Qué tan seguro es mantener el salt con el hash de contraseña? [duplicar] ¿Cómo se correlaciona CSRF con la política del mismo origen?