Opened by rosti at 2024-05-14 18:02
User since
2005-01-17
14741 Artikel
Admin1
![[Homepage]](/battie/theme/default/homepage.gif)
2005-01-17
14741 Artikel
Admin1
Meiner Meinung nach: das Token besagt ja nur, dass sich jemand mal (jetzt, vor einiger Zeit, vor langer Zeit) mit Username und Passwort authentifiziert hatte.
Ob das wirklich die Person war, kann nur durch einen weiteren Faktor (2FA) bewerkstelligt werden (Authentifizierungs-App, Hardware-Key).
Das üblich nach Username+Passwort eine Session-ID (Token?) zu erzeugen und per Cookie oder CGI-Parameter mit zu schleppen, ist verführerisch, aber das Token bleibt solange gültig, bis der Server abbrennt, der PC verschrottet wird – je nachdem ob ein Token abläuft.
Zudem sind die Tokens ja so nicht gesperrt, falls jemand mal eben Pause macht, ein extra Hardware-Key, der abgezogen wird, macht es sicherer.
Oder interpretiere ich deine Frage nicht richtg?
Last edited: 2024-05-14 18:34:38 +0200 (CEST)
Ob das wirklich die Person war, kann nur durch einen weiteren Faktor (2FA) bewerkstelligt werden (Authentifizierungs-App, Hardware-Key).
Das üblich nach Username+Passwort eine Session-ID (Token?) zu erzeugen und per Cookie oder CGI-Parameter mit zu schleppen, ist verführerisch, aber das Token bleibt solange gültig, bis der Server abbrennt, der PC verschrottet wird – je nachdem ob ein Token abläuft.
Zudem sind die Tokens ja so nicht gesperrt, falls jemand mal eben Pause macht, ein extra Hardware-Key, der abgezogen wird, macht es sicherer.
Oder interpretiere ich deine Frage nicht richtg?
Last edited: 2024-05-14 18:34:38 +0200 (CEST)