web-dev-qa-db-ja.com

なぜ銀行のウェブサイトは何もしないと常にログアウトするのですか?

私が使用したすべての銀行および金融のWebサイトは、一定期間後にログアウトするようです。

金融サイトがこれを行うための法的要件または技術的な理由はありますか?または、コンピュータまたはデバイスのログオフまたはセキュリティ保護を忘れた場合に、他のユーザーがアカウントにアクセスできないようにするための「セキュリティ」の形式ですか?

これは私の意見では非常に貧弱なユーザーエクスペリエンスです。 Googleはこのような短い期間が過ぎてもログアウトしません。また、Googleアカウントに 2-Step Verification があり、非常にインテリジェントなエンジニアの集団が私の銀行口座よりもはるかに安全であると感じています。

これらのサイトが自動的にログアウトするか、それとも妥当な期間(他のサイトでは30〜90日が一般的)の間ログインしたままにするかを選択できるように思えます。

編集

選択した回答が質問に対する最も完全な回答だと思いますが、銀行がセッションを終了する理由は正当な理由ではないようです。

攻撃者が銀行のWebサイトセッションにアクセスすることに関連するリスクにはいくつかのレベルがあります。

  1. 個人情報(財務情報)の表示
  2. アカウントの変更(これには、お金の盗難、ロックアウトなどが含まれます)

これと同じ状況がどのWebサイトアカウントにも存在しますが、金融Webサイト、およびほとんどの人にとって、#2は他のタイプのサイトよりもはるかに深刻です。

ユーザーをログアウトさせるよりも良い解決策は次のようになると思います:

  1. デフォルトのセッションタイムアウトを短時間に
  2. ユーザーが自分のアカウントのセッションタイムアウトを変更できるようにする
  3. アカウントを変更したり、お金を移動したりするアクションには再認証が必要
session-managementbanks
7
mkopala

セキュリティのためです。これにより、他のユーザーが誤って自分のアカウントにログインしたままになることがないため、あなたのコンピューターにアクセスできる人なら誰でもあなたの銀行口座に完全にアクセスできます。

このように、泥棒は、家に侵入してコンピューターの価値だけでなくコンピューターを盗む動機もありませんが、潜在的にあなたの人生の節約にアクセスし、アイテムの購入、国外への資金の移動などに使用する可能性があります。 。(はい、侵入してキーロガーをインストールし、同じ攻撃を行う可能性があります。)

パワーGmailユーザーは1日に何百回もメールアカウントをチェックします。毎回再ログインしなければならないのは非常に面倒です。ログインする必要のある銀行口座はめったにありません。たぶん週または月に一度10分間。

盗まれた銀行口座の潜在的な影響は、通常、平均的なユーザーにとって、電子メールアカウントが盗まれた影響よりも深刻です。

メールアカウントを紛失しても重大な影響はありません(特に、メールを使用してパスワードをリセットしたり、2要素認証の一部として使用したり、ソーシャルエンジニアリングに使用したりできる場合など)。

13
dr jimbob

銀行がクレジットカードを発行する場合、PCI-DSSコンプライアンスを維持する必要があります。

PCI-DSS要件 8.1.8の状態:

8.1.8セッションが15分以上アイドル状態であった場合、端末またはセッションを再度アクティブにするために、ユーザーに再認証を要求する。

4
John Wu

上記の回答に加えて、あなたがあなたのマシンから離れている場合、それはまた、人々があなたのコンピューターに飛び乗るのを防ぐためでもあります。

たとえば、ボブが職場でオンラインバンキングにサインインした場合、ワークステーションをロックせずにコーヒーを手に入れることにします。その後、誰もが通り過ぎて、自分の銀行口座に直接ジャンプすることができました。

X分の有効期限/ログアウトにより、ボブが他のタスクに気を取られた場合、この問題は大幅に軽減されます。

4
Ben Poulson

セッションの有効期限はアプリケーションに組み込まれ、セッションの乗っ取りやCookieの盗難からユーザーを保護します。

すべてのユーザーが技術に精通しているわけではなく、セッションの乗っ取りやCookieの盗難が何であるかを理解していない可能性があります。

バンキングアプリケーションはCookieとセッションを使用して、ユーザーの状態とセキュリティを維持します。アイドル時間が数分後にCookieを非アクティブ化すると、Cookieを盗んだハッカーもログインできなくなります。

3
akr

ほとんどの銀行のITスタックは古くなっており、落下を待つカードの家です。構成可能なセッションタイムアウトを実装し、機密性の高いアクションで再認証を要求するのと同じくらい簡単なことは、まともなスタックでは簡単ですが、強力なCOBOLの匂いがする30年前のメインフレームでは途方もない努力です。

考慮すべきもう1つの点は、現在の競争がないこと(すべての銀行はUXの点で悪い)を考えると、開発者がこれに「時間を浪費する」時間を正当化するビジネスインセンティブがないということです。

0
André Borie