Login Token?
Ich habe gehört, dass es zum einloggen bei Websiten Tokens gibt also ein Code und das wenn jemand anderes diesen Code hat sich bei deinem Account anmelden kann und man nichts dagegen tun kann. Stimmt das oder kann man den Code ändern indem man das Passwort ändert.
3 Antworten
Das kommt ganz darauf an, wie die Webseite entwickelt ist. Früher waren Sessions beliebt, heutzutage sind JWT Tokens eher der Standard.
Bei Sessions ist es so, dass ein Angreifer diese durch eine passende Attacke abgreifen könnte - hauptsächlich, wenn du auf einen manipulierten Link klickst oder auf der Webseite eine kritische Sicherheitslücke (persistente XSS) vorhanden ist. Der Angreifer kann sich dann mit der Session einloggen. In der Regel läuft so eine Session ab, wenn der Nutzer das Browser-Fenster schließt. Dann ist die Session nicht mehr gültig und der Token kann nicht mehr verwendet werden. Auch können Sessions vom Webseitenbetreiber invalidiert werden, wenn eine solche Attacke bekannt wurde.
Bei JWT Tokens ist es ziemlich ähnlich: Sie werden nur nicht als Cookie gesendet (wie Sessions), sondern sie sind eine lange Buchstaben-Zahlen-Kette, die i.d.R. im Browser gespeichert wird (beispielsweise im LocalStorage). Wie lange JWT Tokens gültig sind, hängt ganz davon ab, was der Webseitenbetreiber für richtig hält. Das Ablaufdatum kann selbst gewählt werden. Sobald der Token abgelaufen ist, kann er nicht mehr verwendet werden. In der Regel ist so ein Token daher nur wenige Minuten (bspw. 30) gültig, bevor er abläuft. Damit man dann nicht plötzlich ausgeloggt wird, kann ein JWT Token "erneuert" werden. Auch kann einem JWT Token bestimmte "Berechtigungen" zugewiesen werden... - Das geht aber zu sehr ins technische - zumindest kann ein solcher Token beispielsweise geklaut werden, wenn dein Netzwerkverkehr mitgelesen wird und die Verbindung zur Seite entweder unsicher ist http:// statt https://) oder der Angreifer Zugriff auf den Server der Webseite oder deinen PC hat, um eine sichere Verbindung vorzutäuschen. Der JWT-Token kann dann beim Login abgefangen werden und für die Dauer seiner Gültigkeit verwendet werden.
Bei JWT Tokens ist es meistens so, dass diese beim Ändern des Passworts zurückgesetzt (d.h. invalidiert) werden. Daher wirst du bei manchen Diensten auch von anderen Geräten ausgeloggt, wenn du dein Passwort änderst. Das ist aber nicht immer so, und hängt davon ab, ob der Webseitenbetreiber das so entwickelt hat.
Fazit: Ja, ist möglich - aber nicht ohne weiteres. Es muss schon eine starke Sicherheitslücke bei der Webseite bestehen oder der Netzwerkverkehr zwischen dir und der Webseite unsicher sein.
Ja das geht..
hier ist ein Video wo das erklärt wird
Natürlich kann man was dagegen tun z.b 2FA
Nichts er kann trotzdem auf dein Browser zugreifen.. egal er kommt ohne Passwort rein wen du angemeldet bist und kann dadurch sogar 2FA umgehen
Und was passier, wenn man das Passwort ändert?