Sichere und ergonomische Timeouts

Sichere und ergonomische Timeouts

Marc Ruef
by Marc Ruef
time to read: 5 minutes

Im Bereich der Informationssicherheit werden eine Vielzahl an Kämpfen ausgetragen. Ein klassisches Beispiel ist die immerwährende Diskussion bezüglich Timeouts. Timeouts werden eingesetzt, um nach einer bestimmten Zeitdauer eine vordefinierte Aktion auszulösen. Im Sicherheitsbereich werden Timeouts vorzugsweise genutzt, um inaktive Sessions abzubauen. Da dadurch eine erneute Authentisierung erforderlich werden würde, kann damit die Sicherheit erhöht werden. Bestens bekannt sind derartige Timeouts in Form von passwortgeschützten Bildschirmschonern und bei Webdiensten (z.B. Ebanking).

Kurze Timeouts minimieren das Zeitfenster für erfolgreiche Angriffe. Und dies ganz besonders für Attacken, die einen hohen Zeitaufwand erfordern. Dazu gehören mitunter:

Die Sicherheit ist damit umso höher, desto kürzer ein Timeout ist. Ist die Lebensdauer einer aktiven Session und der damit verbundenen Session-ID auf n Minuten beschränkt, hat auch ein Angreifer nur eben diese maximale Zeitdauer zur Verfügung, um die Attacke erfolgreich durchzuführen (Herausfinden der ID, Re-Initiieren der bestehenden Sitzung, Missbrauch der Zugriffsmöglichkeiten, Verwischen der Spuren).

Ab einem gewissen Punkt wirken sich Timeouts jedoch negativ auf die Produktivität und Ergonomie einer Lösung aus. Nämlich dann, wenn das eigentliche Arbeiten durch das ungewollte Einsetzen der Timeouts unterbrochen oder verhindert wird. Das erneute Einloggen kann auf die Dauer mühsam werden.

Aus diesem Grund liegt die Kunst darin, einen Mittelweg zwischen Sicherheit und Komfort zu finden. Dieser liegt bei der minimalen Definiton eines Timeouts, ohne die Produktivität mehrheitlich zu verringern.

Die Wahl eines Timeouts ist in individueller Weise von der betroffenen Anwendung und den an diese gestellten Anforderungen abhängig. Grundsätzlich sind diese Eigenschaften zu berücksichtigen, um zu einem vertretbaren Ergebnis kommen zu können:

Eigenschaft Arbeitsplatz Int. CRM Webforum Ebanking
Typische max. Nutzungsdauer des Dienstes 10-14h 10-14h 6-14h 1-2h
Durchschn. Anzahl Aktivitäten während Nutzung 14 20 14 4
Min. Pause >3m zwischen Aktivitäten 10m 5m 5m 120m
Max. Pause zwischen Aktivitäten 120m 60m 120m 20m
Anforderung an Überbrückung max. Pausen nein ja nein nein
Gewichtung der Sicherheit gering gering gering hoch
Gewichtung des Komforts mittel hoch mittel mittel
Empfohlenes Timeout 15m 75m 180m 20m

Als Faustregel kann man sagen:

Ein Timeout sollte so gross sein, dass es im alltäglichen Betrieb nicht greifen kann. Sobald dieser aber endet, sollte es schnellstmöglich zur Anwendung kommen.

Generell kann gesagt werden, dass Timeouts grösser als die maximale Dauer eines Arbeitstags niemals sinnvoll sind. Ich würde behaupten, dass >16h nur in 0.01% aller Fälle gerechtfertigt werden kann. Ein 24h Timeout würde wohl nur am Wochenende greifen und wäre damit zu einem Grossteil der Zeit dem Ausbleiben eines Timeouts gleichzusetzen. Dann kann man eigentlich auch gleich ganz drauf verzichten.

About the Author

Marc Ruef

Marc Ruef has been working in information security since the late 1990s. He is well-known for his many publications and books. The last one called The Art of Penetration Testing is discussing security testing in detail. He is a lecturer at several faculties, like ETH, HWZ, HSLU and IKF. (ORCID 0000-0002-1328-6357)

You need support in such a project?

Our experts will get in contact with you!

×
Specific Criticism of CVSS4

Specific Criticism of CVSS4

Marc Ruef

scip Cybersecurity Forecast

scip Cybersecurity Forecast

Marc Ruef

Voice Authentication

Voice Authentication

Marc Ruef

Bug Bounty

Bug Bounty

Marc Ruef

You want more?

Further articles available here

You need support in such a project?

Our experts will get in contact with you!

You want more?

Further articles available here