Sollte es nach jedem IP-/Internetwechsel (anderes LAN/WLAN, anderer Hotspot) eine neue Passwort-Abfrage/neue Sitzung geben?

4 Antworten

Krabat693
Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer
Computer, Computer
10.04.2024, 11:53
eine neue Passwort-Abfrage/neue Sitzung geben?

Nein, das braucht's nicht.

Nach dem Login wird ein Cookie auf deinem Gerät gespeichert welcher für die Identifikation am Server zuständig ist.

Fallbeispiel: Konnte trotz WLAN-Wechsel auf zuvor angemeldete E-Mail zugreifen bzw. weiterhin eingeloggt bzw. gleiche Sitzung.

Ja, und das geht so lange wie der Cookie auf deinem Gerät und gültig ist

Woher ich das weiß:Berufserfahrung – Administrator mit über 12 Jahren Berufserfahrung
Kleosa 
Fragesteller
 10.04.2024, 11:59

das ist bequem aber unsicher

0
Krabat693  10.04.2024, 12:06
@Kleosa

Wieso unsicher? Kryptographische Cookies zur Identifikation sind eindeutig. Es macht für die Sicherheit keinen Unterschied ob du dich in einem neuen Netzwerk nochmal mit deinen Zugangsdaten identifizieren musst oder nicht.

1
Kleosa 
Fragesteller
 10.04.2024, 12:12
@Krabat693

Sitzungsunterbrechung; und nochmals Zugangsdaten (sofern MFA!) ist sicherer, als Weiterlaufen der Sitzung

0
Krabat693  10.04.2024, 12:14
@Kleosa

Und wie kommst du darauf? Es macht technisch keinen Unterschied ob du eine Sitzung einfach weiternutzt oder jedes Mal eine neue Sitzung erstellst.

1
chriss1967
10.04.2024, 12:54

Deine Sorgen um session hijacking sind einerseits berechtigt, viele haben dagegen aber schon einen Schutz. Dort musst du dich neu anmelden, wenn deine IP z.b. das Land oder den Kontinent wechselt. Würde das bei jedem IP-wechsel nötig sein, würde man ja durchdrehen.

ytimoyt
10.04.2024, 11:52

Was genau meinst du? Anmeldedaten sind im Browser gespeichert und etwaige bestehende Sitzungen sind in Cookies gespeichert, lokal auf deinem Gerät.
Kleosa 
Fragesteller
 10.04.2024, 11:58

und Gefahr des -Session hijacking / Cookie hijacking, Session Fixation; Cookie Theft, Cross-Site-Cooking: ... ?

0
ZaoDaDong  10.04.2024, 12:18
@Kleosa

dafür verringert sich die Gefahr durch Phishing, je weniger oft man ein PW eingeben muss, desto sicherer und komplexer kann man es machen.

1
ZaoDaDong
Nutzer, der sehr aktiv auf gutefrage ist
im Thema Computer
10.04.2024, 12:24

Das ergibt besonders beim mobilen Netz nicht viel Sinn. Da muss man dann ja dauernd das PW neu eingeben.
Was du in deinem LAN machst, kann und soll dem Serviceanbieter im Internet egal sein.

Woher ich das weiß:eigene Erfahrung – Ich habe selber lange im PC gearbeitet