ログインを保護するためのブラウザフィンガープリント
ログインしているユーザーが、ブラウザーのフィンガープリントを使用してアカウントを作成した実際のユーザーであるかどうかを識別することは良い考えですか?
基本的には、サインインをクリックするだけで一連のチェックを行い、それがすべてのデータの80%と一致しない場合は、いくつかの2FAを要求します。
これはGoogleが行うことと似ていると思います。彼らは合法的にあなたからこのデータを収集し、あなたがログインしているときはいつでもそれを更新します。
それが十分に安全であるかどうか、またはユーザーがログインするときにユーザーを識別するより良い方法はありますか? IPアドレスを使用して行うのは安全ではないため、ユーザーエージェントについても同様です。ブラウザのフィンガープリントを参照しましたが、セキュリティについてはほとんど知らず、専門家から知りたいと思っています。
これは、「認識された」デバイスから簡単にログインできる、特にユーザーフレンドリーな方法です。以下のオプションはすべて一緒に適用されます。例えば。ユーザーエージェントだけでは安全ではありませんが、IPアドレスと組み合わせるとより強力になります。これは通常使用します:
- ユーザーエージェントデータ(画面解像度を含む)
- タイムゾーン
- IPアドレスの場所とシステム時間からの時間チェック
- クッキー
- WebRTCは有効ですか?
- IPアドレスとDNSサーバーは一致しますか?
- JavaScriptは有効ですか?
- IPアドレスには開いているポートがありますか? (既知のプロキシまたはVPNの場合)
- OSとブラウザOSのユーザーエージェントデータは一致しますか?
- IPアドレスはレジデンシャルですか、それともデータセンターからですか?
WhatLeaks これらのほとんどをカバーしています。
この方法はPaypalを介して実装され、非常にうまく機能します。 Paypalを認証してログインし、ログアウトして再度ログインできるようにする必要があります。今は異常なアクティビティについてメールを送信しないでください。この場合は、ブラウザのユーザーエージェントとCookieをコピーしてください。次に、それらを別のコンピューターに配置します。 「異常な活動」についてメールを送ってはいけません。 「80%」の一致についておっしゃったように、あまりにも多くの変更があった場合、これは異常なアクティビティの電子メールまたはSMSに適用できます。
この方法は安全ですか?おそらく、それなしの場合よりも優れた保護を提供し、ほとんどの攻撃者を阻止します。ただし、一部が不十分になり、それを特効薬のように扱い、より弱いパスワードを使用するか、2FAをオプトアウトします。