Как банки помнят «ваш компьютер»?

Question

Как многие из вас, вероятно, знают, в онлайн-банках в настоящее время есть система безопасности, в которой вам задают некоторые личные вопросы, прежде чем вы даже вводите свой пароль. После того, как вы ответили на них, вы можете выбрать для банка «запомнить этот компьютер», чтобы в будущем вы могли войти в систему, только вводя свой пароль.

Как работает «запомнить этот компьютер»? Я знаю, что это не может быть куки, потому что функция все еще работает, несмотря на то, что я очищаю все свои файлы cookie. Я думал, что это может быть по IP-адресу, но мой друг с динамическим IP утверждает, что он работает и для него тоже (но, возможно, он ошибается). Он думал, что это MAC-адрес или что-то в этом роде, но я сильно сомневаюсь в этом! Итак, существует ли концепция https-only cookie, которую я не понимаю?

Наконец, часть программирования вопроса: как я могу сделать что-то подобное себе, скажем, в PHP?

Answer 1

Фактически они, скорее всего, используют куки. Альтернативой для них будет использование «flash cookies» (официально называемое «Local Shared Objects»). Они похожи на файлы cookie, так как они привязаны к веб-сайту и имеют ограничение на максимальный размер, но они поддерживаются флэш-плеером, поэтому они невидимы для любых инструментов браузера.

Чтобы очистить их (и проверить эту теорию), вы можете использовать the instructions provided by Adobe. Другая отличная (или, может быть, тревожная, в зависимости от вашей точки зрения) функция заключается в том, что хранилище LSO используется всеми браузерами, поэтому, используя LSO, вы можете идентифицировать пользователей , даже если они переключают браузер (при условии, что они вошли в систему как один и тот же пользователь).

Answer 2

Это может быть комбинация файлов cookie и регистрации IP-адресов.

Редактировать: Я только что проверил свой банк и очистил файлы cookie. Теперь я должен повторно ввести всю свою информацию.

Answer 3

MAC-адрес возможен.

IP-адресация по физическому местоположению также возможна.

Пользовательские агенты и другие HTTP-заголовки являются тихими, уникальными для каждой из машин.

Я думаю об этих сайтах, которые мешают вам использовать ускоряющих менеджеров загрузки. Должен быть способ.

Answer 4

Вы используете ноутбук? Помнит ли вас, после удаления файлов cookie, если вы получаете доступ из другой сети Wi-Fi? Если это так, сопоставление IP/физического местоположения маловероятно.

Answer 5

Я думаю, что это зависит от банка. Мой банк использует cookie, так как я теряю его, когда я удаляю файлы cookie.

Answer 6

Возможно, флеш-файлы хранят небольшой объем данных на вашем компьютере. Также возможно, что банк использует этот подход для «запоминания» вашего компьютера, но рискованно полагаться на пользователей, имеющих (и не отключая) вспышку.

Answer 7

Сайт моего банка заставляет меня повторно аутентифицироваться каждый раз, когда вышла новая версия Firefox, поэтому в некоторых случаях есть определенный компонент пользовательского агента.

Answer 8

Основываясь на всех этих постах, выводы, которые я делаю, заключаются в следующем: (1) это зависит от банка, и (2) есть, вероятно, более одной части данных, которые участвуют, но см. (1).

Answer 9

Особый банк, который меня интересовал, - Bank of America.

Я подтвердил, что если я удалю только куки или мои LSO, сайт не требует, чтобы я снова вводил информацию. Если, однако, я очищаю оба, мне пришлось пройти дополнительную проверку подлинности. Таким образом, это, по-видимому, ответ в моем конкретном случае!

Но благодарю вас всех за хедз-ап в отношении других банков и возможности, такие как включение строки User-Agent.

Answer 10

Этот вид отслеживания сеанса, скорее всего, будет выполнен с использованием комбинации файлов cookie с уникальным идентификатором, идентифицирующим ваш текущий сеанс, и веб-сайта, связывающего этот идентификатор с последним IP-адресом, который вы использовали для подключения к их серверу. Таким образом, если IP изменяется, но у вас все еще есть файл cookie, вы идентифицированы и вошли в систему, и если файл cookie отсутствует, но у вас тот же IP-адрес, что и тот, который сохранен на сервере, тогда они устанавливают ваш файл cookie идентификатор сопряжен с этим IP-адресом.

Действительно, это вторая возможность, которая является сложной задачей. Если файл cookie отсутствует, и у вас есть только ваш IP-адрес, который будет отображаться для идентификации, совершенно небезопасно регистрировать кого-то только в этом основании. Таким образом, серверы, вероятно, хранят дополнительную информацию о вас, LSO выглядит как хороший выбор, geo IP тоже, но User Agent, не так много, потому что они на самом деле ничего не говорят о вас, каждое тело использует ту же версию того же браузера, что и вы имеет то же самое.

Как уже упоминалось выше, он может работать с адресами MAC. Я категорически не согласен! Ваш MAC-адрес никогда не доходит до сервера вашего банка, поскольку они используются только для идентификации сторон Ethernet-соединения и для подключения к вашему банку вы создаете связку Ethernet-соединений: от вашего компьютера до домашнего маршрутизатора или вашего интернет-провайдера, тогда оттуда до первого интернет-маршрутизатора, через который вы проходите, затем ко второму и т. д. ... и каждый раз, когда происходит новое соединение, каждая машина с каждой стороны предоставляет свои собственные MAC-адреса. Таким образом, ваш MAC-адрес может быть известен только машинам, напрямую связанным с вами через коммутатор или концентратор, потому что все, что направляет ваши пакеты, заменит ваш MAC своим. Только IP-адрес остается таким же. Если MAC-адреса действительно прошли весь путь, это был бы кошмар конфиденциальности, так как все MAC-адреса уникальны для одного устройства, поэтому одному человеку.

Это немного упрощенное объяснение, потому что дело не в этом вопросе, но было полезно очистить то, что выглядело как недоразумение.