Session Timeout Best Practice NIST

D'un autre côté, NIST recommande que les constructeurs d'applications obligent leurs utilisateurs à réapparaître toutes les 12 heures et à mettre fin aux séances après 30 minutes d'inactivité. Pour la réauthentification intermittente, le temps de terminaison de la session se rétrécit à 2 minutes.

1. Combien de temps un délai d'expiration de session doit être?
2. Quel est le paramètre de sécurité recommandé pour le délai d'expiration de la session?
3. Quelle est la publication spéciale NIST 800 63b?
4. Quel est le délai d'expiration de session par défaut?

Combien de temps un délai d'expiration de session doit être?

Les délais de session typiques sont des durées de 15 à 45 minutes en fonction de la sensibilité des données qui peuvent être exposées. À l'approche du délai d'expiration de la session, offrez aux utilisateurs un avertissement et leur donnez l'occasion de rester connecté.

Quel est le paramètre de sécurité recommandé pour le délai d'expiration de la session?

Configurer les paramètres de délai d'expiration de la session

Pour les utilisateurs du portail, même si le délai d'expiration réel se situe entre 10 minutes et 24 heures, vous ne pouvez sélectionner qu'une valeur entre 15 minutes et 24 heures. Si vous souhaitez appliquer une sécurité plus stricte pour des informations sensibles, choisissez une période de délai plus courte.

Quelle est la publication spéciale NIST 800 63b?

NIST Publication spéciale (SP) 800-63B fournit des exigences, des recommandations et des conseils pour l'utilisation de secrets mémorisés (I.e., Broches, mots de passe) dans l'authentification de l'identité numérique. Ces conseils pour les secrets mémorisés sont exclusivement pour les utilisateurs humains.

Quel est le délai d'expiration de session par défaut?

La valeur par défaut est de 10 minutes. Session. Le délai d'attente n'a pas de limite de code dur. La plupart des administrateurs Web définissent cette propriété sur 8 minutes.