Thread Sollte man Sessions nach Passwortwechsel invalide machen? (10 answers)
Opened by GwenDragon at 2021-12-21 11:18

styx-cc
 2021-12-22 00:42
#194112 #194112
User since
2006-05-20
533 Artikel
BenutzerIn

user image
Und wenn der Verdacht falsch war und der Hacker statt des Post-Its deine aktuelle Session gekapert hat?

Ich würde zumindest auch die aktuelle Session durch eine neue ersetzen und an den ändernden Clienten aushändigen - dazu brauchts ja keine Nutzerinteraktion, denn der Client hat ja gerade das Passwort geändert und sich damit authentifiziert.

Anlehnend an:
https://security.stackexchange.com/questions/10512... (insbes. OWASP)

Edit:
Auch die Idee, dass der Browser/Nutzer direkt seinen Password-Cache für gespeicherte Paswörter erneuern kann, wenn man den Benutzer auf die Loginseite leitet finde ich nicht verkehrt - ist aber eher eine useability/geschmacksfrage.
Last edited: 2021-12-22 00:47:10 +0100 (CET)
Pörl.

View full thread Sollte man Sessions nach Passwortwechsel invalide machen?