Hello, [...] Das würde bedeuten, dass wir z. Zt. die Funktion [password_hash()](http://php.net/manual/en/function.password-hash.php) von PHP mit dem $algo-Argument `PASSWORD_BCRYPT` nutzen sollten und können? Die Einschränkung auf 60 Zeichen Output ist nicht (sooo) relevant? Ist `crypt` soviel löchriger? Wenn man bei der Anmeldung am System einen Session-Token erzeugt, ist es dann sinnvoll, für die Dauer der Session selber zusätzlich auch einen Fingerprint des Client zu speichern und bei jedem Request auf die Session zu vergleichen? Dann hätte man zumindest eine Chance, ein entführtes Session-Token zu erkennen, oder? Liebe Grüße Tom S. -- Es gibt nichts Gutes, außer man tut es! Das Leben selbst ist der Sinn.

Hello, [...] Das würde bedueten, dass wir z. Zt. die Funktion [password_hash()](http://php.net/manual/en/function.password-hash.php) von PHP mit dem $algo-Argument `PASSWORD_BCRYPT` nutzen sollten und können? Die Einschränkung auf 60 Zeichen Output ist nicht (sooo) relevant? Ist `crypt` soviel löchriger? Wenn man bei der Anmeldung am System einen Session-Token erzeugt, ist es dann sinnvoll, für die Dauer der Session selber zusätzlich auch einen Fingerprint des Client zu speichern und bei jedem Request auf die Session zu vergleichen? Dann hätte man zumindest eine Chance, ein entführtes Session-Token zu erkennen, oder? Liebe Grüße Tom S. -- Es gibt nichts Gutes, außer man tut es! Das Leben selbst ist der Sinn.