- Jaki jest zalecany limit czasu sesji?
- Czym jest specjalna publikacja NIST 800 63B?
- Czy NIST wymaga wygaśnięcia hasła?
- Jak długo powinna trwać sesja logowania?
Jaki jest zalecany limit czasu sesji?
Typowy limit czasu sesji to od 15 do 45 minut trwania w zależności od czułości danych, które mogą być odsłonięte. W miarę zbliżania się limitu czasu sesji zaoferuj użytkownikom ostrzeżenie i daj im możliwość pozostania zalogowanym.
Czym jest specjalna publikacja NIST 800 63B?
NIST Special Publication (SP) 800-63b zawiera wymagania, zalecenia i wytyczne dotyczące stosowania zapamiętanych tajemnic (i.mi., Szpilki, hasła) w uwierzytelnianiu tożsamości cyfrowej. Niniejsze wytyczne dotyczące zapamiętanych tajemnic są wyłącznie dla ludzi.
Czy NIST wymaga wygaśnięcia hasła?
Wygaśnięcie hasła
Według NIST i Microsoft zasady ważności hasła nie są już konieczne. Sugerowano, że zmuszanie użytkowników do okresowej zmiany haseł może faktycznie wyrządzić więcej szkody niż pożytku, ponieważ użytkownicy stają się bardziej narażeni na przewidywalne hasła, ponieważ są łatwiejsze do zapamiętania.
Jak długo powinna trwać sesja logowania?
Uważa, że dłuższy czas bezczynności (15-30 minut) jest dopuszczalny dla aplikacji niskiego ryzyka. Z drugiej strony NIST zaleca, aby budowniczowie aplikacji uczynili swoich użytkowników ponownie co 12 godzin i zakończyli sesje po 30 minutach bezczynności.