假设您已使用Google 2-step Verification注册了您的设备,当您返回该网站时,它会使用哪些信息来验证您是否在该设备上?
它是否在您的计算机上存储了某些内容(如cookie),还是使用其他算法来确定您从哪里登录?
答案 0 :(得分:10)
它存储有关您与服务器对话的各种信息。 SSL Cookie,会话数据(如IP地址)和有关浏览器的其他信息。当您更改此信息时,风险评估值会随着与原始已知值的偏差发生变化而增加。一旦此值达到某个阈值,则根据您所在国家/地区的在线风险状况,该事件会引发一系列使您的会话无效的事件。
当您的会话无效时,您需要再次登录。 它比cookie更复杂,但它也涉及cookie。
安全社区中存在很多争论,即在端点和cookie验证之外添加保护以及何时对最终用户造成麻烦是否重要。
答案 1 :(得分:7)
快速跟进这个问题。很多人继续看这个问题,但令人惊讶的是,没有一个好的答案发布。
自从原帖以来,我做了很多研究,找出了用于确定独特设备的技术,最后我偶然发现了panopticlick project。
该网站回答了很多问题,因为它显示了网站可用于fingerprint your browser的确切指标。使用此方法,网站可以真正缩小您用于连接服务的确切设备,从而更轻松地验证两步验证。
希望这有助于某人尝试在您的网站上实施两步。