Door Briolet: Door Anoniem: Lijkt mij andermaal dus dat multifactor authenticatie door de overheid schijn veiligheid wekt.… Het probleem is niet MFA, maar het niet uitloggen door gebruikers. Veel mensen loggen niet uit, maar sluiten alleen het browservenster. Ze blijven dan ingelogd en de sessie cookie is dan de sleutel om weer op je ingelogde pagina's te komen als je de url weer intikt op een nieuw venster. Door die sessie cookie te stelen, kunnen criminelen dan een account benaderen dat nog niet uitgelogd is. Maar die sessie cookie kan ook al gestolen en misbruikt worden 1 seconden nadat je bent ingelogd. Het uitloggen van een gebruiker is niet zo relevant. Probleem in mijn ogen is volgens mij dat de sessie cookie niet specifiek voor het device / browser van de gebruiker is. De sessie cookie is te makkelijk te kopiëren naar een andere device. Je zou de sessie cookie afhankelijk kunnen maken van het IP adres van de gebruiker maar dat zorgt er weer voor dat roaming gebruikers weer iedere keer opnieuw ...