Ich stimme @i47 zu. Völlig unpragmatisch und an der Realität vorbei. Wenn man so einen „Industriestandard“ umsetzt dann sollte man diesen nicht einfach über alle User drüber stülpen. Vielleicht hat ja Shopware bei Paypal gelernt…
- Bei vielen webbasierten Onlinebanking Apps läuft eine Uhr mit und eine Benachrichtigung kommt, wenn die Login Timeout erreicht ist. Über die Benachrichtigung kann man die Login Zeit wieder verlängern. So kann der User zumindest reagieren und hat eine visuelle Rückmeldung.
- Es sollte konfigurierbar sein und einem Admin überlassen bleiben wie er die Zeit einstellt. Jeder Admin ist mündig und es gibt genug andere Wege und Strategien das Backend abzusichern.
- In der DEV environment sollte es deaktivierbar sein
Und noch ein Gedanke zum „Industriestandard“. Kaum jemand gibt heute Passwörter von Hand ein. In der Regel ist also irgendein Passwortmanager vorhanden für den BE Login. Die 30 Minuten Sicherheitssperre fürs Shopware BE bringen rein gar nichts, wenn das Device und Passwortmanager offen stehen. Die Sperrzeit von Devices und guten Passwortmanagern kann übrigens auch jeder selbst konfigurieren - also sollte das bei Shopware auch so gehandhabt werden, vor allem jetzt wo wir alle im Gartner Quadrant leben.
