Sollte man Sessions nach Passwortwechsel invalide machen? (Allgemeine technische Fragen)

[thread]21380[/thread]

Sollte man Sessions nach Passwortwechsel invalide machen?

Tags: perl5 CGI session Ähnliche Threads

Leser: 7

Articles: hide open all | hide show old branches

+11 replies
GwenDragon

2021-12-21 11:18

User since
2005-01-17
14748 Artikel
Admin1

Wenn ich nun zwei Browser haben, die über Session-Cookies ein Login durchführen und ich über den einem Browser das Login-Passwort ändere und wieder einlogge, dann bleibt ja auf dem anderen Browser die Session aktiv und gültig.

Sollte eine Passwortänderung überhaupt eine Session ungültig machen?
Was ist denn üblich und sinnvoll?
Was meint ihr dazu?
Last edited: 2021-12-21 11:19:09 +0100 (CET)
die Drachin Gwen

Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
- +10 replies
- haj
  
  2021-12-21 12:15
  
  User since
  2015-01-07
  555 Artikel
  BenutzerIn
  
  Die Session, in der das Passwort geändert wurde, braucht man meiner Ansicht nach nicht ungültig zu machen.
  
  Andere Sessions des gleichen Benutzers dagegen unbedingt: Wenn Du den Verdacht hast, dass jemand Dein Passwort-Post-it gefunden hat, dann willst Du sofort Dein Passwort ändern. Dabei sollten aber andere Sessions des gleichen Benutzers sofort ungültig werden: Sonst werkelt der Hacker munter weiter, bis ihn mal ein Cookie-Timeout ereilt.
  - +9 replies
  - styx-cc
    
    2021-12-22 00:42
    
    User since
    2006-05-20
    533 Artikel
    BenutzerIn
    
    Und wenn der Verdacht falsch war und der Hacker statt des Post-Its deine aktuelle Session gekapert hat?
    
    Ich würde zumindest auch die aktuelle Session durch eine neue ersetzen und an den ändernden Clienten aushändigen - dazu brauchts ja keine Nutzerinteraktion, denn der Client hat ja gerade das Passwort geändert und sich damit authentifiziert.
    
    Anlehnend an:
    https://security.stackexchange.com/questions/10512... (insbes. OWASP)
    
    Edit:
    Auch die Idee, dass der Browser/Nutzer direkt seinen Password-Cache für gespeicherte Paswörter erneuern kann, wenn man den Benutzer auf die Loginseite leitet finde ich nicht verkehrt - ist aber eher eine useability/geschmacksfrage.
    Last edited: 2021-12-22 00:47:10 +0100 (CET)
    Pörl.
    - +8 replies
    - haj
      
      2021-12-22 08:58
      
      User since
      2015-01-07
      555 Artikel
      BenutzerIn
      
      2021-12-21T23:42:00 styx-cc
      Und wenn der Verdacht falsch war und der Hacker statt des Post-Its deine aktuelle Session gekapert hat?
      
      Das ist ein etwas anderes Szenario: Wenn aktuelle Sessions gekapert werden können, muss der Hacker gar kein Passwort eingeben. Da hilft nur ein Logout und danach Beheben der Ursache.
      
      Beim Passwort-Wechsel muss man das aktuelle Passwort angeben, selbst dann, wenn man schon angemeldet war: Dadurch wird verhindert, dass der Hacker, der Deine aktuelle Session gekapert hat, hinter Deinem Rücken das Passwort ändert.
      
      2021-12-21T23:42:00 styx-cc
      Ich würde zumindest auch die aktuelle Session durch eine neue ersetzen und an den ändernden Clienten aushändigen - dazu brauchts ja keine Nutzerinteraktion, denn der Client hat ja gerade das Passwort geändert und sich damit authentifiziert.
      
      Jo, das kann man machen, das passiert automagisch, wenn Authentisierungsdaten ins Session Cookie eingehen. Es hängt von der Anwendung ab, was an der "Session" alles hängt, aber im Normalfall wird ein Benutzer sein Passwort nicht mitten während einer ungespeicherten Transaktion ändern.
      
      2021-12-21T23:42:00 styx-cc
      Anlehnend an:
      https://security.stackexchange.com/questions/10512... (insbes. OWASP)
      
      Bei dem OWASP-Artikel geht es nicht um einen Passwortwechsel, sondern um einen Passwort Reset: Der Nutzer hat sein Passwort vergessen und will trotzdem ins System. Im Unterschied zum Passwortwechsel ist er damit nicht im System authentisiert. Da passt es dann schon, ihn auf die Login-Seite umzulenken, damit er eine neue, reguläre Session aufmachen kann.
      - +7 replies
      - styx-cc
        
        2021-12-22 09:35
        
        User since
        2006-05-20
        533 Artikel
        BenutzerIn
        
        Quote
        Das ist ein etwas anderes Szenario: Wenn aktuelle Sessions gekapert werden können, muss der Hacker gar kein Passwort eingeben. Da hilft nur ein Logout und danach Beheben der Ursache.
        
        Ich hatte da eher im Kopf, der Benutzer bemerkt in seinem Account Veränderungen die er nicht getätigt hat (Versuch der Änderung der Bankverbindung z.B.) und wird nervös, versucht zügig das Passwort zu wechseln - und genau hier ist imho eine neue Session angberacht, andernfalls hat der Benutzer ein neues Passwort und trotzdem nichts gewonnen.
        
        Ob nun "automagisch" weil vorher schon eingebaut oder explizit, hauptsache die Session ist auf anderen Geräten ab sofort ungültig - oder habe ich einen denkfehler?
        
        Und bzgl. OWASP hab ich reset und change tatsächlich durcheinandergebracht - damit ist auch das Argument Browsercache und useability hinfällig, denn beim manuellen setzen des neuen Passworts wird das ja gleich mit erledigt.
        Pörl.
        
        +6 replies
        
        haj
        
        2021-12-22 12:56
        
        User since
        2015-01-07
        555 Artikel
        BenutzerIn
        
        2021-12-22T08:35:36 styx-cc
        Ich hatte da eher im Kopf, der Benutzer bemerkt in seinem Account Veränderungen die er nicht getätigt hat (Versuch der Änderung der Bankverbindung z.B.) und wird nervös, versucht zügig das Passwort zu wechseln - und genau hier ist imho eine neue Session angberacht, andernfalls hat der Benutzer ein neues Passwort und trotzdem nichts gewonnen.
        
        Passwort ändern ist schon richtig als Maßnahme. Aber wenn Du davon ausgehst, dass Deine laufende Session gekapert wurde, dann solltest Du in keinem Fall in einer gekaperten Session das Passwort ändern. Das neue Passwort hat der Hacker damit auch gleich. Also immer zuerst die Session beenden und dann in einer neuen Session das Passwort ändern.
        
        Technisch gesehen ist das Kapern einer laufenden Session um einige Größenordnungen aufwendiger als das Erraten/Ausspionieren eines Passworts. Dazu muss entweder das Netzwerk oder das System des Nutzers komprommitiert sein. Und wenn's so weit gekommen ist, dann kann man nicht mehr wissen, was der Hacker alles anrichten kann und was nicht. Das kommt aber schon vor: Web-Anwendungen, bei denen es wirklich um Geld geht, verlangen deswegen bei Überweisungen höherer Beträge eine 2-Faktor-Authentisierung auch während einer laufenden Session.
        
        2021-12-22T08:35:36 styx-cc
        Ob nun "automagisch" weil vorher schon eingebaut oder explizit, hauptsache die Session ist auf anderen Geräten ab sofort ungültig - oder habe ich einen denkfehler?
        
        Kein Denkfehler, das ist richtig: Andere Sessions sollten ungültig werden.
        
        styx-cc
        
        2021-12-22 13:02
        
        User since
        2006-05-20
        533 Artikel
        BenutzerIn
        
        Ok, dann haben wir nicht aneinander vorbei geredet, grundsätzlich ist mir das alles klar, aber nichtsdestotrotz geht mein Benutzer nicht von gekaperten Sessions oder ähnlichem aus, der sieht das was geändert wurde und die imo wahrscheinlichste Reaktion ist das Passwort zu wechseln.
        
        Das der Benutzer im Falle eines Session-Hijackings vermutlich noch ganz andere Probleme hat, wird er früher oder später schon mitbekommen :-)
        Pörl.
        
        +4 replies
        
        styx-cc
        
        2021-12-22 13:17
        
        User since
        2006-05-20
        533 Artikel
        BenutzerIn
        
        Quote
        Aber wenn Du davon ausgehst, dass Deine laufende Session gekapert wurde, dann solltest Du in keinem Fall in einer gekaperten Session das Passwort ändern. Das neue Passwort hat der Hacker damit auch gleich.
        
        Warum? Welchen Angriffsvektor siehst du da?
        Klar, wenn der Benutzer Malware o.ä. auf seinem Gerät hat, dann ist das Passwort wieder weg, da hilft ein- und ausloggen aber auch nicht.
        
        Rein theoretisch könnte ein Angreifer aber auch kurzzeitig Zugriff auf die Hardware gehabt haben und die Session nicht reproduzierbar gekapert haben (der Benutzer weiß grundsätzlich erstmal nicht ob er sein Passwort verloren hat oder seine Session gekapert wurde und wird im Zweifel vermutlich das Passwort ändern).
        
        Was sprich dann dagegen das Passwort in dieser Session zu ändern und im Nachhinein die Session ungültig zu machen und neu zu vergeben?
        Pörl.
        
        +3 replies
        
        haj
        
        2021-12-22 15:36
        
        User since
        2015-01-07
        555 Artikel
        BenutzerIn
        
        2021-12-22T12:17:50 styx-cc
        Was sprich dann dagegen das Passwort in dieser Session zu ändern und im Nachhinein die Session ungültig zu machen und neu zu vergeben?
        
        Na eben das, dass Du nicht weißt, wo das Problem liegt.
        
        Wenn ich, aus welchem Grund auch immer, an der Integrität meiner Session zweifle, beende ich sie sofort. Ich schließe den Browser. Wenn ich in so einer Situation das Passwort ändern will, dann nehme ich einen anderen Browser auf einem anderen Gerät und lasse so lange die Finger von der zweifelhaften Kiste, bis geklärt ist, was da los war.
        
        Allerdings: Ich war noch nie in so einer Situation. Ich weiß gar nicht mehr, wann ich das letzte Mal ein Passwort geändert habe. Damit ist das etwas fiktiv, weil ich nicht vorhersagen kann, wie ich in einer solchen Krisensituation wirklich reagiere.
        
        +2 replies
        
        styx-cc
        
        2021-12-22 18:47
        
        User since
        2006-05-20
        533 Artikel
        BenutzerIn
        
        Ich schätze deine Beiträge ja sehr, aber heute geh ich mit dir nicht d'accord.
        
        Das du oder andere Benutzer mit professionellem Hintergrund dem Gerät nicht mehr trauen und entsprechend ein anderes verwenden um dem Problem auf den Grund zu gehen bin ich 100% dabei, aber ich schreibe meine Software in der Regel nicht nur für mich selber und kann nur schwerlich beeinflussen wie sich der Anwender in so einem Fall verhält, zumal die meisten Benutzer vermutlich nicht mal wissen was eine Session ist.
        Wenn ich also die Möglichkeit habe Szenarien auszuschließen ohne mir dabei ein Bein auszureißen tue ich das auch.
        Pörl.
        
        haj
        
        2021-12-23 17:56
        
        User since
        2015-01-07
        555 Artikel
        BenutzerIn
        
        2021-12-22T17:47:16 styx-cc
        Ich schätze deine Beiträge ja sehr, aber heute geh ich mit dir nicht d'accord.
        
        Das ist ok. Ich habe in einem sicherheitstechnisch etwas rabiaten Umfeld zu tun gehabt und weiß, dass ich nicht der typische Benutzer bin.
        
        Konfuzius
        Be in harmony, yet be different.

View all threads created 2021-12-21 11:18.