web-dev-qa-db-ja.com

ログインを保護するためのブラウザフィンガープリント

ログインしているユーザーが、ブラウザーのフィンガープリントを使用してアカウントを作成した実際のユーザーであるかどうかを識別することは良い考えですか?

基本的には、サインインをクリックするだけで一連のチェックを行い、それがすべてのデータの80%と一致しない場合は、いくつかの2FAを要求します。

これはGoogleが行うことと似ていると思います。彼らは合法的にあなたからこのデータを収集し、あなたがログインしているときはいつでもそれを更新します。

それが十分に安全であるかどうか、またはユーザーがログインするときにユーザーを識別するより良い方法はありますか? IPアドレスを使用して行うのは安全ではないため、ユーザーエージェントについても同様です。ブラウザのフィンガープリントを参照しましたが、セキュリティについてはほとんど知らず、専門家から知りたいと思っています。

2

これは、「認識された」デバイスから簡単にログインできる、特にユーザーフレンドリーな方法です。以下のオプションはすべて一緒に適用されます。例えば。ユーザーエージェントだけでは安全ではありませんが、IPアドレスと組み合わせるとより強力になります。これは通常使用します:

  • ユーザーエージェントデータ(画面解像度を含む)
  • タイムゾーン
  • IPアドレスの場所とシステム時間からの時間チェック
  • クッキー
  • WebRTCは有効ですか?
  • IPアドレスとDNSサーバーは一致しますか?
  • JavaScriptは有効ですか?
  • IPアドレスには開いているポートがありますか? (既知のプロキシまたはVPNの場合)
  • OSとブラウザOSのユーザーエージェントデータは一致しますか?
  • IPアドレスはレジデンシャルですか、それともデータセンターからですか?

WhatLeaks これらのほとんどをカバーしています。

この方法はPaypalを介して実装され、非常にうまく機能します。 Paypalを認証してログインし、ログアウトして再度ログインできるようにする必要があります。今は異常なアクティビティについてメールを送信しないでください。この場合は、ブラウザのユーザーエージェントとCookieをコピーしてください。次に、それらを別のコンピューターに配置します。 「異常な活動」についてメールを送ってはいけません。 「80%」の一致についておっしゃったように、あまりにも多くの変更があった場合、これは異常なアクティビティの電子メールまたはSMSに適用できます。

この方法は安全ですか?おそらく、それなしの場合よりも優れた保護を提供し、ほとんどの攻撃者を阻止します。ただし、一部が不十分になり、それを特効薬のように扱い、より弱いパスワードを使用するか、2FAをオプトアウトします。

2
safesploit