バンクオブアメリカでは、これまで使用したことがないコンピューターにログインしていることをどのように確認できますか?
これまでに使用したことがないコンピューターで初めてバンクオブアメリカにサインインすると、これが検出され、セキュリティに関する質問の1つに答えるように求められます。同じコンピューターの別のブラウザーでサインインすると、BoAがこれを実行するのを見たと思います。ただし、ブラウザのキャッシュをクリアしても、再度尋ねられることはありません。
Bank of Americaは、サインインに使用しているコンピューターを(おそらく)一意に識別しますか?
私のWebサイトに同様のセキュリティ対策を実装することは良い考えかもしれないので、私は尋ねています。
彼らが実際にコンピューターを特定するのではなく、ログインに成功すると永続的なCookieを送信するだけで、ブラウザーがそのCookieを返す限り、それが以前に使用されたマシンであることを知っていることは間違いありません。
特定のドメインに送信するすべてのCookieを確認し、特定のドメインのCookieを削除できるようにするFirefoxのWeb開発ツールバーのようなものを使用して、これを非常に簡単にテストできるはずです。 Bank of America WebサイトのCookieを削除してから再度ログインしようとすると、実際にCookieを使用して提示するワークフローを決定している場合は、「新しいコンピューターを使用しています」というワークフローが再度表示されます。
Cookie以外にも、マシンを認識するために使用できる方法がいくつかあります。
- ローカルで共有されているオブジェクト (Flash cookie)
- Webストレージ (ローカルストレージとも呼ばれます)
- その他の保管メカニズム
- ブラウザフィンガープリント (可能性ははるかに低い)
さらに、ストレージメカニズムを組み合わせることができます(バンクオブアメリカ が行うように、または少なくとも1つの時点 で行います)。これの究極の例は、これまでのところ、 evercookie と呼ばれるプロジェクトであり、永続的なブラウザ追跡を可能な限り無効にすることを目的としています。
BoAのような銀行は、次のようないくつかの変数を検証するリスクベースの意思決定エンジンを使用します。
- 目に見えるIPアドレス
- ユーザーエージェントヘッダーと画面解像度などの検出可能な表示プロパティを含む、ブラウザーの「署名」
- 永続的なCookieの存在
- Flashウォレットトークンなど、別の永続ストアにデータが存在する
リスクエンジンは上記のデータを使用し、銀行によって構成されたさまざまなリスクルールと比較します。ルールには、IPジオロケーションとブラックリスト、既知のブラウザーのセキュリティ問題、プロファイルに固有のリスクの露出(例:富裕層の顧客の場合)が含まれます。リスクエンジンはスコアを計算し、認証の2番目の要素を求めるプロンプトを表示するかどうかを決定します。これは、ワンタイムパスワードまたはKBA(知識ベース認証)の質問(最初のペットの名前など)の場合があります。
一部の銀行では、サインオン時にのみこのチェックを行います。他の銀行は、contetxtに敏感なリスクチェックを、すべてのトランザクションで実行します。 100万ドルを外部口座に配線する場合、10ドルをローン口座に送金するよりもリスクが高くなります。