似乎我使用过的每个银行和金融网站都会在一段时间后将我注销。
金融网站这样做是否有法律要求或技术原因?或者这只是他们的“安全”形式,以防止其他人在您忘记注销或保护您的计算机或设备时访问您的帐户?
在我看来,这是非常糟糕的用户体验。谷歌在这么短的时间内没有让我退出,我觉得我的谷歌账户和两步验证和一群非常聪明的工程师比我的银行账户安全得多。
看来我应该能够选择这些站点是否自动将我注销,或者我是否可以在合理的时间内保持登录状态(其他站点通常为 30 到 90 天)。
编辑:
我相信所选答案是对问题最完整的答案,但似乎没有一个理由是银行结束您的会话的好理由。
攻击者访问您的银行网站会话有几个级别的风险:
任何网站帐户都存在相同的情况,但对于金融网站和大多数人来说,#2 比其他类型的网站严重得多。
我认为比注销用户更好的解决方案是:
这是为了你的安全。这样人们就不会意外地保持登录到他们的帐户,因此可以访问您的计算机的任何人都可以完全访问您的银行帐户。
这样小偷就没有动力闯入你的房子偷走你的电脑,不仅仅是为了电脑的价值,还有可能获得你一生的积蓄并用它来购买物品、将资金转移到国外等.(是的,他们可以闯入,安装键盘记录器,并可能进行相同的攻击。)
Power gmail 用户每天将检查他们的电子邮件帐户数百次;每次都必须重新登录将过于繁重。您只需很少登录的银行账户;也许每周或每月一次 10 分钟。
对于普通用户而言,被盗银行账户的潜在影响通常比电子邮件账户被盗的影响更为严重。
并不是说丢失您的电子邮件帐户也不会产生严重影响(尤其是如果您可以使用电子邮件重置密码、用作 2 因素身份验证的一部分、用于社会工程等)
会话到期被合并到应用程序中,以保护用户免受会话劫持或 cookie 盗窃。
并非所有用户都精通技术,并且可能不了解会话劫持或 cookie 盗窃是什么。因此,强制用户每隔几分钟不活动就登录是为了保护用户信息。
银行应用程序使用 cookie 和会话来维护用户状态和安全性。在几分钟的空闲时间后停用 cookie 会使窃取 cookie 的黑客也无法登录。
除了上述答案之外,它还可以防止人们在您离开机器时跳到您的计算机上。
例如,如果 Bob 在他的工作场所登录他的网上银行,然后决定先喝杯咖啡而不先锁定他的工作站;然后任何人都可以走过并直接进入他的银行账户。
通过 X 分钟到期/注销,如果 Bob 被其他任务分心,这个问题会大大减少。