11

前回のアクセス以降に不審なログインが発生した場合にユーザーに警告する機能を Web アプリケーションに実装することに関心があります。

私のお決まりの反応は、クライアントの IP アドレスを使用することでしたが、調査を行った後、これはひどい考えのようです。動的割り当てと NAT は、これが信頼できないことを示唆しています。

2 番目に考えたのは、位置情報サービスを使用することでした。しかし、私が見つけたものは、IP ベースのものか、私の価格帯外のものでした。

私の 3 番目の考えは、Facebook の「Register this device」プロンプトのようなものを実装することでしたが、これがどのように信頼できる方法で機能するかはわかりません。

合理的なレベルの信頼性でデバイスまたは場所を特定する方法について、誰かアイデアはありますか?

4

1 に答える 1

15

これは、ビジネス ルールによって異なります。いくつかの要因に基づいてスコアを付けることができます。

  1. 同じ IP ではない: +5
  2. 同じサブネットでない: +10
  3. 同じ国でない: +100
  4. 成功するまでに 3 回以上試行: +50
  5. 2人以上同時ログイン:+50
  6. 前回と違うブラウザ:+5

次に、次のようなルールを設定できます。

  1. 0-20: 次にログインが成功したときにユーザーに通知します。
  2. 21-50: ログインの合間に 5 分間待機させます。
  3. 51-100: アカウントをロックし、確認メールで強制的にロックを解除します。

gmailのように、ログインの最後の日付とIPを常に表示します。Gmail には、表示できるログイン履歴もあります。

編集:これは、まだいくつかのビューを取得している非常に古い回答です。今日は、おそらく 2FA ソリューションをお勧めします。2 要素認証とは何ですか?

于 2013-02-13T19:24:27.247 に答える