video12

С точки зрения современного инфо-беза логин + пароль - уже не танцуют.
Сейчас - основной упор на безопасность - это многофакторка. И время сессии
желательно как можно меньше. Например 15 минут. В кабинетах банков так уже делают.

Если злоумышленник у вас угнал куки то у него есть очень мало времени чтобы ими
воспользоваться иначе надо будет доставать как-то ваш телефон или RSA-брелок.

Кроме того сами методы многофакторки рандомно меняются. Банк для авторизации
входа может позвонить голосом. Чтоб подтвредить. Может попросить ввести число
с генератора в MSAuth/Okta/Duo. Или приложить палец к сканеру отпечатков.

Тоесть кража самих кукисов - влечет для нас целый квест вопросв и ответов которые нужно
дальше спрашивть прежде чем сказать что-то утвердительно.