Quote

Das ist ein etwas anderes Szenario: Wenn aktuelle Sessions gekapert werden können, muss der Hacker gar kein Passwort eingeben. Da hilft nur ein Logout und danach Beheben der Ursache.

Ich hatte da eher im Kopf, der Benutzer bemerkt in seinem Account Veränderungen die er nicht getätigt hat (Versuch der Änderung der Bankverbindung z.B.) und wird nervös, versucht zügig das Passwort zu wechseln - und genau hier ist imho eine neue Session angberacht, andernfalls hat der Benutzer ein neues Passwort und trotzdem nichts gewonnen.

Ob nun "automagisch" weil vorher schon eingebaut oder explizit, hauptsache die Session ist auf anderen Geräten ab sofort ungültig - oder habe ich einen denkfehler?

Und bzgl. OWASP hab ich reset und change tatsächlich durcheinandergebracht - damit ist auch das Argument Browsercache und useability hinfällig, denn beim manuellen setzen des neuen Passworts wird das ja gleich mit erledigt.