Hallo und guten Tag,

aber Klartext speicher ich ja nur in der DB. Wenn der User zum Beispiel sein Kennwort vergessen hatte, kann ich ihm das Kennwort erneut zusenden, ohne dass ein neues erstellt werden muss.

So ähnlich hatte sich das Yahoo wohl 2014 auch gedacht :-(

Wenn das Kennwort in der Session gespeichert wird, kann es nicht per hack ausgelesen werden? Bei Cookie könnte es ja auch ausgelesen werden...

Wenn die Sessiondatei nicht in einem shared Memorybereich liegt, wird es schwer, das Passwort aus der Session zu holen. Die Sessiondatei sollte außerdem nur persistent, aber nicht permanent (also nur "temprorärpermanent") sein. Da wäre es für einen Angreifer zu teuer, alle Sessiondateien zu lesen, um an Passworte zu gelangen. Aber um auch diese Möglichkeit noch zu verhindern, gehört das Passwort auch nicht in die Sessiondatei! Du benötigst es nur einmal, um es mit dem gehashten Wert des Passwortes aus der Datenbank zu vergleichen und dann ein Session-Token zu erzeugen.

Grüße
TS