Periode waktu yang baik sangat bervariasi sesuai dengan sensitivitas aplikasi, profil risiko sendiri, dll., Tetapi beberapa pedoman yang bagus adalah:
- 15 menit untuk aplikasi keamanan tinggi.
- 30 menit untuk aplikasi keamanan menengah.
- 1 jam untuk aplikasi keamanan rendah.
- Apa batas waktu sesi yang direkomendasikan?
- Apa saja praktik terbaik manajemen sesi menurut OWASP?
- Berapa lama sesi login harus bertahan?
- Bagaimana Anda menerapkan waktu tunggu sesi?
Apa batas waktu sesi yang direkomendasikan?
Timeout sesi yang khas adalah durasi 15 hingga 45 menit tergantung pada sensitivitas data yang mungkin diekspos. Saat timeout sesi semakin dekat, tawarkan peringatan kepada pengguna dan beri mereka kesempatan untuk tetap masuk.
Apa saja praktik terbaik manajemen sesi menurut OWASP?
Praktik terbaik manajemen sesi menurut OWASP
Pastikan bahwa waktu tidak aktif sesi sesingkat mungkin, disarankan bahwa batas waktu aktivitas sesi harus kurang dari beberapa jam. Hasilkan pengidentifikasi sesi baru saat pengguna mengautentikasi kembali atau membuka sesi browser baru.
Berapa lama sesi login harus bertahan?
Itu menganggap bahwa waktu out idle lebih lama (15-30 menit) dapat diterima untuk aplikasi berisiko rendah. Di sisi lain, NIST merekomendasikan agar pembangun aplikasi membuat pengguna mereka mengautentikasi kembali setiap 12 jam dan mengakhiri sesi setelah 30 menit tidak aktif.
Bagaimana Anda menerapkan waktu tunggu sesi?
Pilih Administrasi Sistem > Mempersiapkan > Parameter Sistem untuk membuka halaman Parameter Sistem. Pada tab Umum, di bagian Manajemen Sesi, masukkan nilai dalam timeout tidak aktif sesi di bidang menit. Pilih Simpan. Jika Anda menetapkan nilainya ke lebih dari 30, Anda akan diminta untuk mengkonfirmasi pilihan Anda.