Почему случайно сгенерированный хеш безопаснее, как идентификатор сессии пользователя?

Question

[hloya_ram]

Добрый день, хочу уточнить.
Если злоумышленник украдет Cookie сессии администратора, он сам станет администратором.
Аналогично как если злоумышленник украдет логин и пароль.

Почему тогда говорят, что случайный хеш сессии безопаснее хеша, созданного на основе, допустим логина+хеша_пароля+sesure_string?

Answer 1

[Dimonchik]

украсть сложнее чем подобрать sesure_string и затем перебрать типовые хеши паролей

Comments

[hloya_ram]

Спасибо за ответ. Теперь все понятно.