Ik blijf ingelogd ondanks herstarten van PC en 2FA

Dat komt omdat na aanmelden een sessie-cookie wordt opgeslagen op het apparaat dat gebruikt is om op de website aan te melden. Als je dat niet wil moet je uitloggen als de je website verlaat. Bij Tweakers kun/kon je je sessie aan een IP vergrendelen, ik weet niet of dat nog zo is

Zie ook session hacking waar net als 2FA, een groot deel van het vertrouwen rust op het feit dat je apparatuur degelijk beveiligd is

Dat ligt 100% aan de website. 2FA doe je normaal alleen bij inloggen. Als je inlogt met een sessie die langer duurt dan je browsesessie (bij veel sites behoorlijk standaard) hoef je dus na een reboot ook niet opnieuw in te loggen. Bij het inloggen op de site kan je evt een vinkje "onthoud mij" oid uitzetten als dat er is, anders zal je je browser zo in moeten stellen dat 'ie je cookies leeggooit bij afsluiten. Dan begin je elke reboot (of browser-restart) met een schone sessie.

2FA is er meestal voor om er voor te zorgen dat niet iemand kan inloggen met je user en ww op een nieuw/onbekend device.

je eigen device is meestal wel een vertrouwd apparaat.
Dat is in je eigen bezit en dan kan je wat "makkelijker" omgaan met de veiligheid.

Er zit wel een verschil in of he inlogd op AH of bij een Bank.
Bij AH mag je ingelogd blijven. Bij een bank dien je altijd een tweede factor op te geven.

Sites als bol, en amazon doen het weer net iets anders.
Daar hoef je bv niet in te loggen. Dan word herkend wie je bent voor bv je favorieten.
Maar als je iets wilt bestellen en betalen, dan moet je opnieuw inloggen.

Atmoz schreef op vrijdag 7 mei 2021 @ 15:45:
..
Ik dacht dat 2FA juist extreem veilig was, maar dat valt dan een beetje tegen...
..

Dit heeft helemaal niets met 2FA te maken.
Je browser slaat data (zogenaamde cookies) lokaal op voor een bepaalde tijd (met of zonder 2FA dat staat daar los van). Wanneer je weer op de site komt dan controleert deze eerst de cookies. Bestaan deze al en zijn deze nog geldig dan gebruikt ie de data uit de cookies om je sessie op de website te hervatten.

Beste is dus, als je het allemaal zo 'onveilig' vindt, om je cookies bij afsluiten op te ruimen en jezelf altijd uit te loggen.

Cookies verwijderen zorgt er trouwens slechts voor dat je daadwerkelijk opnieuw moet inloggen met tweede factor. Bij het inloggen maakt de site een sessie aan en slaat een het token daarvan op op jouw computer, in een cookie (opgeslagen op je harde schijf). Daarmee kan jij aantonen "dit is mijn sessie" zonder dat daarin je wachtwoord of 2FA bekend zijn of benodigd zijn. De site kan hier een maximale levensduur aan verbinden, waarna deze je token niet meer accepteert en je opnieuw in moet loggen voor een nieuw token. Vaak is deze levensduur een jaar of langer, helemaal als er een vinkje "onthoud mij" bij het inlogformulier staat.

2FA beschermt zoals gezegd tegen aanvallen waarbij jouw gebruikersnaam en wachtwoord op de een of andere manier bij een aanvaller terecht zijn gekomen, dat gebeurt in het overgrote deel van de gevallen nog via datalekken elders en password reuse. Die aanvaller kan dan niet inloggen zonder jouw tweede factor en zal dus geen token krijgen voordat hij heeft aangetoond jouw 2FA te hebben, die als het goed is niet is uitgelekt omdat die voor elke site uniek is.

Maar als die aanvaller malware op jouw PC heeft die jouw cookies naar hem doorstuurt, heeft het lokaal verwijderen bij jouzelf geen zin. De site in kwestie weet namelijk niet dat jij je cookies verwijderd hebt dus als er geen andere checks (IP, user-agent e.d.) zijn kan de aanvaller gewoon in jouw sessie met jouw cookies. Dit is een veel kleinere aanvalsvector maar nog steeds een mogelijkheid. Als je dit helemaal uit wilt sluiten zal je dus bij de site in kwestie expliciet uit moeten loggen, en/of bij het inloggen een korte maximale sessieduur aangeven als de site dat aanbiedt.

[ Voor 25% gewijzigd door DataGhost op 07-05-2021 16:00 ]