デバイスをGoogle の 2 段階認証プロセスに登録した場合、ウェブサイトに戻ったときにそのデバイスを使用していることを確認するために、どのような情報が使用されますか?
コンピューターに何か (Cookie など) を保存しますか? それとも、他のアルゴリズムを使用して、どこからログインしているかを判断しますか?
11824 次
2 に答える
12
サーバーとの会話に関するさまざまな情報を保存します。SSL クッキー、IP アドレスなどのセッション データ、およびブラウザに関するその他の情報。この情報を変更すると、元の既知の値からの偏差が変化するため、リスク評価値が増加します。この値が特定のしきい値に達すると、国のオンライン リスク プロファイルに基づいて、セッションを無効にする一連のイベントが発生します。
セッションが無効になった場合は、再度ログインする必要があります。Cookie よりも複雑ですが、Cookie も関係します。
セキュリティ コミュニティでは、エンドポイントと Cookie の検証を超えて保護を追加することが重要かどうか、およびそれがいつエンド ユーザーにとって迷惑になるかについて、多くの議論があります。
于 2013-10-23T21:53:11.813 に答える
12
この質問の簡単なフォローアップです。多くの人がこの質問を引き続き見ていますが、驚くべきことに、良い回答が投稿されていません。
最初の投稿以来、一意のデバイスを決定するためにどのような技術が使用されているかを調べるために多くの調査を行い、最終的にpanopticlick プロジェクトに出くわしました。
このウェブサイトは、ウェブサイトがブラウザのフィンガープリントに使用できる正確な指標を示していたため、多くの質問に答えました. この方法論を使用すると、サイトはサービスへの接続に使用する正確なデバイスを実際に絞り込むことができるため、2 段階認証の検証がはるかに簡単になります。
これが、あなたのサイトに 2 ステップを実装しようとしている人に役立つことを願っています。
于 2016-05-23T20:57:59.003 に答える