如何在身份验证时识别用户的设备 - 如果用户从未知设备登录,可以强制执行第二个因素身份验证(如SMS)?我已经看到谷歌和Facebook有这个功能,他们没有使用简单的IP检查 - 如果我在同一个网络上有两个设备,它仍然可以检测我是否尝试从未知设备登录
特别是在网站上 - 据我所知,我们只能获取用户的IP和HTTP标头上的其他信息,但我们如何安全地识别用户的设备?
答案 0 :(得分:1)
您可以使用Cookie - 如果用户没有相应的Cookie,那么需要成功的双因素身份验证吗?
您还可以将browser fingerprinting与IP地址/地理IP信息结合起来,以获得更具启发性的方法,但实施起来要复杂得多,而且可能更脆弱。