Supponendo di aver registrato il dispositivo con Google 2-step Verification, quali informazioni vengono utilizzate per verificare che si trovi su quel dispositivo quando si ritorna al sito Web?In che modo Google riconosce un "dispositivo attendibile" con la verifica in due passaggi
Memorizza qualcosa sul computer (come un cookie) o utilizza qualche altro algoritmo per determinare da dove si effettua l'accesso?
Solo un rapido follow-up su questa domanda. Un sacco di gente continua a vedere questa domanda, ma sorprendentemente, non è stata pubblicata una buona risposta.
Dal post originale, ho fatto molte ricerche per scoprire quali tecnologie sono utilizzate per determinare un dispositivo unico, e alla fine mi sono imbattuto nello panopticlick project.
Questo sito ha risposto a molte domande perché mostrava le metriche esatte che un sito Web può utilizzare per fingerprint your browser. Utilizzando questa metodologia, un sito può davvero restringere il dispositivo esatto che si utilizza per connettersi a un servizio e quindi rendere molto più semplice convalidare una verifica in due passaggi.
Speriamo che questo aiuti qualcuno a provare a implementare 2 passaggi sul tuo sito.
Memorizza varie informazioni sulla conversazione con il server. Cookie SSL, dati di sessione come il tuo indirizzo IP e altre informazioni sul tuo browser. Man mano che si modificano queste informazioni, un valore di valutazione del rischio aumenta man mano che la deviazione dai valori originariamente noti cambia. Una volta che questo valore raggiunge una certa soglia, in base al profilo di rischio online del tuo paese, questo innesca una catena di eventi che invalida la tua sessione.
Quando la sessione è invalidata, è necessario effettuare nuovamente il login. È più complicato di un cookie, ma riguarda anche i cookie.
C'è un sacco di dibattiti nella comunità della sicurezza sul fatto che sia importante aggiungere protezione oltre l'endpoint e la verifica dei cookie e quando diventa una seccatura per l'utente finale.
Grazie mille per questo. Ti capita di avere qualche link alle risorse su cosa sono gli alogritmi e quali dati vengono utilizzati? – Slickrick12
Le informazioni che ho fornito sono state raccolte dalla sperimentazione con vari servizi di Google. Sembra che utilizzino lo stesso tipo di rilevamento per prevenire gli attacchi contro gli account GMail e per richiedere agli utenti domande quali i numeri di telefono. Questo non ha funzionato, come ho pubblicato su Full Disclosure alcuni anni fa, quindi questa roba a due fattori sembra una sostituzione o un'alternativa per quella pratica. Scusami, non posso darti un bel riferimento robusto. –