Thread Ist eine Session überhaupt sicher? (101 answers)
Opened by rosti at 2024-05-14 18:02

Linuxer
 2024-05-15 22:14
#196250 #196250
User since
2006-01-27
3890 Artikel
HausmeisterIn

user image
Nachdem ich das gelesen habe, finde ich, sollte geklärt werden von was genau die Rede ist.

"ein zufällig erzeugtes Token was Du nie zu Gesicht bekommst" das klingt dann mehr nach einer Session-ID anstatt einem Token im Token Sinne. Läuft wahrscheinlich in genau der synonymen Verwendung als Session-Token, die ich an anderer Stelle hier erwähnt hatte.

Zur eigentlichen Frage:
Gerade eine Session-ID, die man nicht zu Gesicht bekommt, lässt sich ja sicherer generieren als ein Benutzername+Passwort.

Ein Benutzername wird meist lesbar ausgewählt, was nur eine geringe Sicherheit bietet.

Ein Passwort ist wahrscheinlich auch meist eher etwas lesbares oder merkbares, was ebenfalls Sicherheit kostet.

Ich unterstelle, dass die meisten Benutzer noch immer mit eher schwachen Passwörtern unterwegs sind.

Damit wäre ich schon der Meinung, dass eine ordentlich generierte Session-ID sicherer ist als eine Kombination von Benutzername und Passwort.

Mal einfach überlegt, wie es aktuell wahrscheinlich aussieht:

  • ein üblicher Benutzername besteht aus irgendwas zwischen 2 und vielleicht 12 Zeichen
  • ein übliches (selbst vergebenes Passwort) besteht aus wahrscheinlich 8 bis 20 Zeichen (und da steckt schon Hoffnung drinne, dass man mindestens 8 Zeichen als Passwort vergibt).


Gerade die selbst vergebenen Passwörter wären sicherheitstechnisch eher mangelhaft. Und selbst wenn es Benutzer gibt, die sich bessere Passwörter vergeben, muss man meiner Meinung bei der Betrachtung dennoch von den schlimmsten Fällen ausgehen.

Das macht in Summe etwas zwischen 10 und 32 Zeichen, was zur Bildung eines Identifikationsmerkmals verwendet werden kann. Ausgehend von den schlechten Annahmen, wahrscheinlich eher zwischen 10-20 Zeichen.

Selbst wenn der Passwort "gut" generiert worden ist, bleibt sein Anteil klein.

Wenn man seine Session-ID nun aus 64 Zeichen generieren lässt, würde ich das schon als sicherer betrachten als eben die Kombination aus Benutzername und Passwort.

Eine Session-ID aus 128 Zeichen entsprechend mehr.

Das tolle ist auch, wenn man es richtig macht, kann die Session-ID wachsen, ohne dass der Benutzer etwas davon bemerkt.
Mehr Benutzer, längere Passwortanforderungen? So wie das wachsen kann, kann man auch die Session-ID wachsen lassen.

Und gerade weil es nicht menschenlesbar oder verarbeitbar sein muss, könnte man auch mehr Zeichen als ID verwenden, nicht nur alphanumerische Zeichen.

edit: Redundanter Wortgebrauch entfernt, wo aufgefallen.
Last edited: 2024-05-15 22:52:05 +0200 (CEST)
meine Beiträge: I.d.R. alle Angaben ohne Gewähr und auf Linux abgestimmt!
Die Sprache heisst Perl, nicht PERL. - Bitte Crossposts als solche kenntlich machen!

View full thread Ist eine Session überhaupt sicher?