Parámetros de interfaz
A continuación se muestra una tabla con los parámetros disponibles para modificación a través de la interfaz web de Passwork, indicando los valores posibles y comentarios:
| Nombre del parámetro | Valor | Comentario |
|---|---|---|
| Configuración del sistema | ||
| Protección adicional y firma de archivos de cookies | Habilitar | Las cookies de sesión PHP se firman utilizando entropía y datos del encabezado de la solicitud HTTP, incluyendo la IP del usuario. Esto mejora la protección contra la fuerza bruta del número de sesión, así como contra la transferencia (robo) de cookies entre navegadores. Cada usuario perderá automáticamente la sesión cuando cambie la dirección IP. |
| Solicitudes de conexión | Habilitar | Conexión del usuario a bóvedas después de la confirmación de la solicitud. |
| Límite de intentos de inicio de sesión fallidos dentro del período establecido | 3–5 | Número máximo de intentos de inicio de sesión fallidos permitidos dentro de un período determinado antes de que se active el bloqueo. |
| Período para contar intentos de inicio de sesión fallidos (en segundos) | 300–600 | Ventana de tiempo en segundos durante la cual se rastrean los intentos de inicio de sesión fallidos. Un valor menor puede omitir intentos lentos de fuerza bruta; 600 segundos (10 minutos). |
| Duración del bloqueo de la cuenta (en segundos) | 300–900 | Duración del bloqueo de la cuenta en segundos después de exceder el límite de intentos fallidos. 15 minutos son suficientes para prevenir la mayoría de los ataques automatizados. |
| Recuperación de contraseña de autoservicio | Deshabilitado | Solo el propietario o un usuario con un rol en Passwork puede restablecer la contraseña de autorización del usuario. |
| Configuración de roles | ||
| Autenticación de dos factores obligatoria | Habilitar | Todos los usuarios asignados a este rol deben configurar 2FA antes de iniciar sesión en Passwork. |
| Tiempo máximo de inactividad de la sesión (en minutos) | 15-30 | Define el tiempo de vida máximo de una sesión inactiva. Se recomienda establecer este valor en entornos de alta seguridad para minimizar el riesgo de secuestro de sesión. |
| Código PIN obligatorio en la extensión | Habilitar | Requiere crear e introducir un código PIN para la autorización en la extensión del navegador. Habilitar esta función proporciona una capa de seguridad adicional, especialmente en dispositivos compartidos. |
| Tiempo de vida del token de acceso (en minutos) | 60-240 | Duración de la validez del token de acceso. Se recomiendan de 1 a 4 horas para limitar el daño potencial en caso de compromiso del token. |
| Tiempo de vida del token de actualización (en minutos) | 1440–10080 | Duración de la validez del token de actualización. Para mayor seguridad, se recomienda limitar el tiempo de vida del token de actualización a 1-7 días. |
| Cuenta: — Uso de aplicación móvil; — Uso de extensión del navegador; — Crear y revocar tokens API a través de la interfaz web. | Permite deshabilitar el uso de la API. Las aplicaciones cliente (aplicaciones móviles, extensiones de navegador) utilizan la API. Si la API está deshabilitada, el usuario solo podrá iniciar sesión en la versión web. |