Tedy teď si nejsem jistý na co vlastně reagujete.
U toho FreeRadiusu je potřeba pouze pokus o přihlášení, vhodně přerušený před ověřením hesla. Tedy "založení platné session" ještě před ověřením hesla a vhodným přerušením a následným navázáním spojení se znalostí té session se tomu ověřování úplně vyhnout.
U těch webů s tou session to tak je. Problém je, když se ta session dá prodlužovat (do nekonečna), například přístupem. Větším problémem je pak, když se předává v url kvůli tomu, že se má sdílet mezi doménami. To se pak snadno dostane i do googlu (protože uživatel někam pastne url) a taková session pak nevyprší (o to se postarají třeba roboti.)