it-swarm.com.de

Wie lauten die Konventionen dafür, wie oft ein Benutzer aufgefordert werden sollte, sich bei einer mobilen Anwendung anzumelden?

Oder anders ausgedrückt: Gibt es einen Prozess, um zu entscheiden, wie lange die authentifizierte Sitzung eines Benutzers dauern soll?

5
mariachimike

Ich stimme Edgarator nicht zu, dass Sie den Benutzer fragen sollten, insbesondere nicht beim Anmelden.

Es ist alles sehr schön und gut, dem Benutzer zu erlauben, es zu ändern, aber bitten Sie ihn nicht, eine Entscheidung zu treffen, die völlig unabhängig davon ist, was er mit Ihrer Anwendung erreichen möchte.

Entscheiden Sie selbst einen vernünftigen Standard - möglicherweise anhand der Kriterien, die Edgarator in seiner Antwort angibt. Machen Sie es kurz. Und bieten Sie die Möglichkeit, sie in einigen Einstellungsdialogen länger zu ändern.

1
Marjan Venema

Es ist schwierig, eine Standardzeit zu finden, um zu messen, wie oft eine Sitzung auf einem mobilen Gerät abläuft.

Also, was ich tun würde, ist:

  1. Definieren Sie, was mein Benutzer ist
  2. Wie sensibel die Informationen sind, mit denen ich zu tun habe

1. Benutzer definieren


Vielleicht möchten Sie über Folgendes nachdenken:

  • Ist er sicherheitsbewusst?
  • Benötigt er einen schnellen und einfachen Zugriff auf die Anwendung? (Vielleicht ärgern sich ältere Menschen, wenn sie jedes Mal ein Passwort mit Symbolen, Groß- und Kleinbuchstaben mit mindestens 8 Zeichen eingeben müssen).
  • Würde es schwierig sein, sich anzumelden, oder würde meine Bewerbung erforderlich sein, wenn man bedenkt, wie schwierig es ist, sich anzumelden?

Wenn dies keine Rolle spielt, können Sie zu Beginn möglicherweise andere Einstellungen für den Sitzungsablauf hinzufügen und von Ihrem Benutzer erfahren (indem Sie ihn auf Ihrem Server verfolgen), wie oft Ihr Standardbenutzer die Sitzung ablaufen lassen möchte. Zum Beispiel:

mockup

bmml source herunterladen - Wireframes erstellt mit Balsamiq Mockups

2. So definieren Sie, wie sensibel die Informationen sind:


So ziemlich alle rechtlichen Auswirkungen hier:

  • Überlegen Sie, was passieren würde, wenn Ihre Informationen verloren gehen?
  • Sollte ich mich um meinen Benutzer kümmern (über die Bereitstellung der Mittel für eine sichere Verbindung hinaus) oder
  • Sollte ich den Benutzer mit den Folgen von Gerätemisshandlungen befassen lassen?

Mehr dazu


  • Mobile Anwendungen wie Facebook kümmern sich nicht viel um das Ablaufen der Sitzung auf mobilen Geräten, da dies die Benutzer davon abhalten würde, sie VIEL zu verwenden.
  • Mobile Anwendungen wie GMail verfallen die Sitzung von Zeit zu Zeit, sodass Sie sich nicht darüber ärgern, wenn es bei jedem blauen Mond passiert. Wenn jedoch jemand in Ihr Telefon einbricht, hat er keinen uneingeschränkten Zugriff auf das Abhören Ihres Telefons Telefon.
  • Mobile Anwendungen wie Online-Banken würden die Sitzung nach dem Schließen der Anwendung ablaufen lassen, da unerwünschte Transaktionen durchgeführt werden könnten, die sich auf die Bank selbst auswirken könnten. Außerdem wird ein sicherheitsbewusster Benutzer höchstwahrscheinlich sagen, dass die App aufgrund der mangelnden Sicherheit nicht gut ist.
1
edgarator

Einmal. Ein Benutzer sollte aufgefordert werden, sich einmal pro Gerät/Installation bei einer mobilen Anwendung auf seinem eigenen persönlichen Gerät anzumelden, um auf Daten zuzugreifen, die sich auf sein eigenes Konto beziehen. Alles andere bedeutet, dass ihr mobiles Gerät nicht persönlich ist und/oder der Kommunikationskanal unsicher ist (z. B. MITM-Angriffe).

Es gibt jedoch Raum für Überlegungen (Sorgen machen und Kontrollen einrichten, um das Risiko zu verringern):

  • gerootete Geräte (absichtlich oder über eine Sicherheitsanfälligkeit),
  • gestohlene Geräte,
  • teilen des Mobiltelefons.

In diesen Fällen gibt es andere Steuerelemente, die möglicherweise ausreichend und/oder besser implementiert sind als Steuerelemente in Ihrer eigenen App. Z.B. Sperrbildschirm, Fernwischen des Telefons usw. für ein gestohlenes Gerät. Familiensteuerelemente zum Freigeben von Geräten. Und bei gerooteten Geräten ist die Verletzung persönlicher oder sensibler Daten in Ihrer App/Ihrem System wahrscheinlich geringfügig, was in diesem Szenario auf dem gesamten Gerät möglich ist.

Letztendlich sollte es also um eine Risikobewertung Ihres Systems, die Daten, mit denen es arbeitet, die Maßnahmen, die es ergreifen kann, und die Bereitschaft eines Entscheidungsträgers, identifizierte Risiken zu unterzeichnen, kommen.

1
straya