Thread Sollte man Sessions nach Passwortwechsel invalide machen? (10 answers)
Opened by GwenDragon at 2021-12-21 11:18

styx-cc
 2021-12-22 13:17
#194117 #194117
User since
2006-05-20
532 articles
BenutzerIn

user image
Quote
Aber wenn Du davon ausgehst, dass Deine laufende Session gekapert wurde, dann solltest Du in keinem Fall in einer gekaperten Session das Passwort ändern. Das neue Passwort hat der Hacker damit auch gleich.


Warum? Welchen Angriffsvektor siehst du da?
Klar, wenn der Benutzer Malware o.ä. auf seinem Gerät hat, dann ist das Passwort wieder weg, da hilft ein- und ausloggen aber auch nicht.

Rein theoretisch könnte ein Angreifer aber auch kurzzeitig Zugriff auf die Hardware gehabt haben und die Session nicht reproduzierbar gekapert haben (der Benutzer weiß grundsätzlich erstmal nicht ob er sein Passwort verloren hat oder seine Session gekapert wurde und wird im Zweifel vermutlich das Passwort ändern).

Was sprich dann dagegen das Passwort in dieser Session zu ändern und im Nachhinein die Session ungültig zu machen und neu zu vergeben?
Pörl.

View full thread Sollte man Sessions nach Passwortwechsel invalide machen?