Passwörter in Cookies

[Gurke]

Hallo Leute,

nach langer Zeit bin ich auch mal wieder unter euch. Ich habe eine eventuell einfache Frage:

Wenn sich jemand bei mir einloggt und die Cookies für Facebook und Co. speichert, dann kann ich mich Tagelang danach auch noch einloggen.

Somit denke ich, dass die Passwörter irgendwo im Browser zwischengespeichert sein müssen oder zumindest ein Hashcode oder sowas.

Man kann keine Passwörter aus Cookies rauslesen, weil die verschlüsselt sind, gibt es eine andere Möglichkeit?

Dachte Laienhaft daran, die Cookies selbst nochmal extra abzuspeichern?

Danke für eure Tipps

[Comu]

Moin,

also ich kenn keinen Anbieter, der Passwörter in Cookies zwischenspeichert. Die Cookies die man kennt sind meistens einfache Auth-Codes die bei größeren Sachen meist mit einer einfachen DB Abfrage zusammenhängen und dann überprüfen ob der Cookie gesetzt ist, wenn ja, die Person mit dem dementsprechenden Cookie einloggen.

Genau dies ist auch der Grund warum beispielsweise die Account-Börse funktioniert.

[Raumi]

Moin,

also ich kenn keinen Anbieter, der Passwörter in Cookies zwischenspeichert. Die Cookies die man kennt sind meistens einfache Auth-Codes die bei größeren Sachen meist mit einer einfachen DB Abfrage zusammenhängen und dann überprüfen ob der Cookie gesetzt ist, wenn ja, die Person mit dem dementsprechenden Cookie einloggen.

Genau dies ist auch der Grund warum beispielsweise die Account-Börse funktioniert.

Um vielleicht das Ganze noch ein wenig abzurunden, in Cookies werden keine Passwörter gespeichert sondern sog. „Auth-Codes” oder SessionIDs. Wenn du dich einloggst, generiert Facebook und Co. einen Cookie mit einem einzigartigen Schlüssel, der verweist in der Datenbank auf deine Informationen. Welche Faktoren bei der Generierung des Schlüssel eine Rolle spielen, bleibt für gewöhnlich Betriebsgeheimnis. Im Normalfall sind sie aber zufällig generiert, denn sie enthalten keine wirklichen Informationen über deine Person.

Der Vorteil liegt auf der Hand; sollte es einem Angreifer z.B. über einen MITM gelingen diese ID abzufangen, dann kann er sich zwar einloggen aber auch nur solange, wie der Schlüssel im Cookie gültig ist* und der Angreifer ist weder im Besitz deines Passwortes, noch im Besitz von irgendwelchen anderen vertraulichen Informationen.

* Bei Facebook kann man die aktiven Sitzungen beenden über „Den Pfeil oben rechts -> Kontoeinstellungen -> Sicherheit -> Aktive Sitzungen -> Aktivität beenden”. Der Cookie beim Endgerät ist dann nicht mehr brauchbar.