Door eMilt: …Probleem in mijn ogen is volgens mij dat de sessie cookie niet specifiek voor het device / browser van de gebruiker is. De sessie cookie is te makkelijk te kopiëren naar een andere device. Je zou de sessie cookie afhankelijk kunnen maken van het IP adres van de gebruiker maar dat zorgt er weer voor dat roaming gebruikers weer iedere keer opnieuw moeten authenticeren. Je zou ook bepaalde eigenschappen van de browser en/of device erin mee kunnen nemen maar dat vereist al gauw javascript om die gegevens op te halen en dat kan ook onwenselijk zijn. En is waarschijnlijk ook te makkelijk om na te bootsen als je bekend bent met welke eigenschappen gebruikt worden. Aan de serverkant kun je natuurlijk ook het device identificeren en aan de sessie koppelen. Ziggo is sinds een paar week bezig om MFA dwingend te introduceren bij al haar klanten. Ik moest er deze week ook voor het eerst gebruik van maken. De gebruikte browser karakteristiek wordt een paar dagen onthouden zodat je bij een volgende inlog ...