除了减少会话长度之外,TIMIFY 还允许您通过选择在用户一段时间不活动后强制结束会话来进一步加强安全性。
在指定的空闲时间过后,系统将提示用户确认是否仍在使用其帐户。如果他们没有回应,他们将被注销。
这可以防止攻击者通过短暂无人看管的登录机器访问您的系统。
对于服务提供商来说,这一点尤其重要,因为服务提供商的工作人员在提供服务时通常会使用共享或便携式设备,并且会因面对面的互动而分散注意力。
您应该再次设置不活动超时多长时间取决于系统保存的数据的性质,但 OWASP 在下面给出了一些一般建议:
“ OWASP 建议应用程序开发人员为处理 泰国 whatsapp 购物数据 高风险数据(如财务信息)的应用程序实施较短的空闲超时时间(2-5 分钟)。它认为,对于低风险应用程序,较长的空闲超时时间(15-30 分钟)是可以接受的。 ”
–
Auth0 博客 - 平衡用户体验和安全性以留住客户
以下场景表明,如果没有设置不活动超时,攻击者可以快速利用这种现象。
场景 #1
理疗师可能会在治疗室里放置笔记本电脑或平板电脑,以便随时掌握顾客的详细信息,但他们在治疗他人或获取材料时经常会留下这些设备。
同样,当员工离开机器去协助访客、去厨房或使用卫生间时,也可以访问开放式办公室、共享工作区或接待区的计算机。
只需片刻,攻击者就可以控制机器并让授权用户访问您的数据或窃取登录信息以供日后使用。
工作笔记本电脑可能会被遗忘在火车上或咖啡店里,甚至可能被小偷抢走。
如果没有不活动超时,攻击者可以在不在公共区域时简单地接管机器并访问您的 TIMIFY 帐户。
由于不活动超时时间很短,因此攻击者在公共区域利用此漏洞的机会窗口非常小,而且风险很高。
让你的团队参与实施
当然,大多数团队都会因为经常被退出账户并被迫重新输入详细信息而感到沮丧。
这实际上是 TIMIFY 移动和平板电脑应用程序的一个常见变更请求,由于便携性带来的风险增加,我们强制用户每次重新打开应用程序时都登录。
因此,让所有员工清楚了解实施这些新功能的原因至关重要。
请咨询您的内部安全专家,确定合理的会话长度和不活动注销,这将有助于在用户体验和安全性之间找到合理的平衡。
此外,确保员工了解如何结合诸如减少会话长度和不活动超时等简单措施来有效抵御破坏身份验证攻击。
重复登录带来的轻微不便与数据泄露对企业、其声誉和客户造成的损害根本无法相比。
不要拖延 - 请尽快联系 TIMIFY 的团队以获取更多信息和有关如何优化会话管理控制的提示。