OWASP recomienda que los constructores de aplicaciones implementen un tiempo de inactividad corto (2-5 minutos) para aplicaciones que manejan datos de alto riesgo, como información financiera. Considera que las salidas de inactividad más largas (15-30 minutos) son aceptables para aplicaciones de bajo riesgo.
- ¿Cuánto tiempo debe ser un tiempo de espera de la sesión??
- ¿Cuál es la configuración de seguridad recomendada para el tiempo de espera de la sesión??
- ¿Qué es el tiempo de espera inactivo de la sesión??
- Por qué es importante el tiempo de espera de la sesión inactiva?
¿Cuánto tiempo debe ser un tiempo de espera de la sesión??
Los tiempos de espera de sesión típicos son duraciones de 15 a 45 minutos dependiendo de la sensibilidad de los datos que pueden estar expuestos. A medida que se acerca el tiempo de espera de la sesión, ofrece a los usuarios una advertencia y les da la oportunidad de permanecer iniciado.
¿Cuál es la configuración de seguridad recomendada para el tiempo de espera de la sesión??
Configurar configuraciones de tiempo de espera de sesión
Para los usuarios del portal, a pesar de que el tiempo de espera real es de entre 10 minutos y 24 horas, solo puede seleccionar un valor entre 15 minutos y 24 horas. Si desea aplicar una seguridad más estricta para obtener información confidencial, elija un período de tiempo de espera más corto.
¿Qué es el tiempo de espera inactivo de la sesión??
La configuración del tiempo de espera de inactividad de la sesión representa la cantidad de tiempo que un usuario puede estar inactivo antes de que la sesión del usuario salga y cierre. Solo afecta las sesiones de navegador de usuario. Puede establecer los valores de 5 minutos a 60 minutos. Esta función tiene un valor predeterminado de 30 minutos.
Por qué es importante el tiempo de espera de la sesión inactiva?
Use el tiempo de espera de la sesión inactiva para configurar una política sobre cuánto tiempo los usuarios están inactivos en su organización antes de que se firmen con aplicaciones web de Microsoft 365. Esto ayuda a proteger los datos confidenciales de la empresa y agrega otra capa de seguridad para los usuarios finales que trabajan en dispositivos no compartidos o compartidos.