De bonnes périodes de délai d'expiration varient considérablement en fonction de la sensibilité de l'application, de son propre profil de risque, etc., Mais certaines bonnes directives sont:
- 15 minutes pour les applications de haute sécurité.
- 30 minutes pour les applications de sécurité moyennes.
- 1 heure pour les applications de sécurité faibles.
- Quel est le délai de session recommandé?
- Quelles sont les meilleures pratiques de gestion de la session selon OWASP?
- Combien de temps une session de connexion devrait-elle durer?
- Comment mettre en œuvre le délai d'expiration de la session?
Quel est le délai de session recommandé?
Les délais de session typiques sont des durées de 15 à 45 minutes en fonction de la sensibilité des données qui peuvent être exposées. À l'approche du délai d'expiration de la session, offrez aux utilisateurs un avertissement et leur donnez l'occasion de rester connecté.
Quelles sont les meilleures pratiques de gestion de la session selon OWASP?
Gestion de session meilleures pratiques selon OWASP
Assurez-vous que le délai d'inactivité de la session est aussi court que possible, il est recommandé que le délai d'activité de la session soit inférieur à plusieurs heures. Générer un nouvel identifiant de session lorsqu'un utilisateur réapparaît ou ouvre une nouvelle session de navigateur.
Combien de temps une session de connexion devrait-elle durer?
Il considère que les temps de temps inactif plus longs (15-30 minutes) sont acceptables pour les applications à faible risque. D'un autre côté, NIST recommande que les constructeurs d'applications obligent leurs utilisateurs à réapparaître toutes les 12 heures et à mettre fin aux séances après 30 minutes d'inactivité.
Comment mettre en œuvre le délai d'expiration de la session?
Sélectionner l'administration du système > Installer > Paramètres du système pour ouvrir la page Paramètres du système. Dans l'onglet Général, dans la section de gestion de la session, entrez une valeur dans le champ d'inactivité de session dans le champ. Sélectionnez Enregistrer. Si vous définissez la valeur à plus de 30, vous serez invité à confirmer votre sélection.