假设您已使用Google 两步验证注册您的设备,当您返回网站时,它会使用哪些信息来验证您在该设备上?
它是否会在您的计算机上存储某些内容(例如 cookie),还是使用其他算法来确定您从何处登录?
问问题
11824 次
2 回答
12
它存储有关您与服务器的对话的各种信息。SSL cookie、会话数据(例如您的 IP 地址)和有关您的浏览器的其他信息。当您更改此信息时,风险评估值会随着与原始已知值的偏差发生变化而增加。根据您所在国家/地区的在线风险状况,此值达到某个阈值后,就会引发一系列事件,使您的会话无效。
当您的会话无效时,您需要重新登录。它比 cookie 更复杂,但它也涉及 cookie。
关于在端点和 cookie 验证之外添加保护是否重要,以及何时对最终用户造成滋扰,安全社区存在很多争论。
于 2013-10-23T21:53:11.813 回答
12
只是对这个问题的快速跟进。很多人继续查看这个问题,但令人惊讶的是,没有发布一个好的答案。
从最初的帖子开始,我做了很多研究以找出用于确定独特设备的技术,最后我偶然发现了panopticlick 项目。
该网站回答了很多问题,因为它显示了网站可以用来对您的浏览器进行指纹识别的确切指标。使用这种方法,站点可以真正缩小您用于连接到服务的确切设备范围,从而更容易验证两步验证。
希望这可以帮助尝试在您的网站上实施 2 步的人。
于 2016-05-23T20:57:59.003 回答