サイトのログインにセッションの有効期限を設定する際のベストプラクティスは何ですか?
最近、ウェブサイトの調査を行いましたが、主な不満の1つは、お客様がログアウトしていて、再度ログインする必要があることです。
現在15分の有効期限が設定されており、これをどのくらいの期間設定する必要があるかについて、標準時間やベストプラクティス(おそらく調査)の種類があるかどうか疑問に思っていますか?
セッションの有効期限はコンテキスト依存であり、さらにセキュリティはユーザーエクスペリエンス関連よりも関連しています。実際、セキュリティとユーザーエクスペリエンスには、異なる目標があります。ユーザーはセッションの期限が切れたときに再度ログインすることを嫌いますが、セキュリティの観点からセッション時間が短いため、ユーザーは不正行為から保護されます。
少なくともスウェーデンでは、金融機関の間で、10分のセッションの有効期限を設けるという黙示的な合意があります。ただし、アプリまたはWebアプリがお金やその他の機密情報を処理しない場合は、セッションの有効期限に数分ではなく数週間を使用できます。