Das zentrale Problem beim Identitäts-Management ist die übliche Login-Seite. Ihre Anfälligkeit hat ganzen Generationen von Hackern das Fortkommen gesichert. Die Schwachstelle ist einfach zu erkennen: Wenn Benutzernamen und Passwörter teilweise oder vollständig eingegeben werden, ist das Sicherheitsniveau gering. Nach erfolgreicher Anmeldung hat der Hacker während des Besuchs ungehinderten Zugriff auf die Online-Verbindung.

Dies muss man sich klarmachen. Eine Website ermöglicht den Zugriff auf ihre Umgebung und der Schlüssel dazu sind Benutzername und Passwort. Hat man erst einmal Zugang erlangt, gibt es keine weiteren Identitätsprüfungen. Das bedeutet, dass der Zugang zur Website - und damit z.B. zu den E-Mails oder den Online-Konten des Nutzers - nur durch den Benutzernamen und das Passwort geschützt ist. Fachlich gesprochen würde man sagen, dass nach der Anmeldung, Session und Transaktionsmanagement fortgesetzt werden, bis der Nutzer sich abmeldet oder die Verbindung auf andere Weise beendet wird.

Die brennende Frage dabei ist: Warum hat man (eine ganze Generation von Programmieren) jemals ein System (das übliche Login-Fenster) entworfen und verbreitet, von dem man wusste, dass es anfällig ist? Hierfür gibt es mehrere Gründe: Naivität, Selbstgefälligkeit und technische Weiterentwicklung finden sich am oberen Ende der Liste

Im Folgenden wird erläutert, wie Systeme angegriffen werden, die mit Login-Seiten arbeiten.