銀行は、2要素認証をいつ要求するかをどのように決定しますか?
私は、銀行が2要素認証プロンプトをいつ提供するかをどのように知っているかを理解しようとして遊んでいました。私はもともとそれが私のクッキーと多分私のIPアドレスに基づいていると思っていました。しかし、結果は私を困惑させました。
シークレットモードでは、銀行は毎回2要素コードを要求します。シークレットモードにはCookieがないため、これは私を驚かせませんでした。そのため、プロンプトが表示されると思います。
通常モードでは、「閲覧データの消去」に入り、すべてのCookie、キャッシュファイル、アプリデータ、パスワード、ダウンロード履歴を消去しました。私はすべてをクリアしました。銀行のサイトを閲覧してログインしましたが、2要素コードの入力はありませんでした。
これを何度も繰り返したところ、同じ結果になりました。私の推測では、彼らはある種の高度なブラウザフィンガープリントを実行しています。これはCookieよりも複雑なことです。何が起こっていると思いますか?
いくつかの銀行が、以下に基づいてユーザーのIDを判別するために、以前のログインからの「プロファイリングデータ」を使用していることを知っています。
- 資格情報(明らかに)
- 秘密の質問(ただし、すべての銀行がこの方法を使用しているわけではありません)
- IPアドレス(地理的位置+タイムゾーン)およびインターネットプロバイダー
以前に銀行との通信に使用されていたデバイス:
a。 Webブラウザーの種類、そのCookie、プラグイン、アドオン
b。画面の解像度
c。ブラウザのサイズ
タイムスタンプの範囲:ユーザーが通常ログインする範囲内。
上記のリストよりも多くの要素がありますが、基本的には、2要素認証をトリガーするかどうかを決定するのはリスクエンジンです。