Comment les banques se souviennent-elles de « votre ordinateur » ?
https://stackoverflow.com/questions/33034
-
09-06-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Comme beaucoup d’entre vous le savent probablement, les banques en ligne disposent aujourd’hui d’un système de sécurité grâce auquel des questions personnelles vous sont posées avant même de saisir votre mot de passe.Une fois que vous y avez répondu, vous pouvez choisir que la banque « mémorise cet ordinateur » afin qu'à l'avenir vous puissiez vous connecter en saisissant uniquement votre mot de passe.
Comment fonctionne la partie « mémoriser cet ordinateur » ?Je sais qu'il ne peut pas s'agir de cookies, car la fonctionnalité fonctionne toujours même si j'efface tous mes cookies.Je pensais que cela pourrait être par adresse IP, mais mon ami avec une adresse IP dynamique prétend que cela fonctionne aussi pour lui (mais peut-être qu'il a tort).Il pensait que c'était une adresse MAC ou quelque chose du genre, mais j'en doute fortement !Alors, y a-t-il un concept de cookies https uniquement que je n'approuve pas ?
Enfin, la partie programmation de la question :comment puis-je faire quelque chose de similaire moi-même, par exemple en PHP ?
La solution
En fait, ils utilisent très probablement des cookies.Une alternative pour eux serait d'utiliser "cookies flash" (officiellement appelé "Objets partagés locaux").Ils sont similaires aux cookies dans la mesure où ils sont liés à un site Web et ont une taille limite supérieure, mais ils sont maintenus par le lecteur Flash, ils sont donc invisibles pour tous les outils de navigation.
Pour les effacer (et tester cette théorie), vous pouvez utiliser les instructions fournies par Adobe.Une autre fonctionnalité intéressante (ou peut-être inquiétante, selon votre point de vue) est que le stockage LSO est partagé par tous les navigateurs, donc en utilisant LSO, vous pouvez identifier les utilisateurs. même s'ils ont changé de navigateur (à condition qu'ils soient connectés sous le même nom d'utilisateur).
Autres conseils
La banque qui m’intéressait est Bank of America.
J'ai confirmé que si j'efface uniquement mes cookies ou mes LSO, le site ne me demande pas de ressaisir les informations.Si toutefois j’efface les deux, je dois passer par une authentification supplémentaire.Cela semble donc être la réponse dans mon cas particulier !
Mais merci à tous pour les informations concernant les autres banques et les possibilités telles que l'inclusion de la chaîne User-Agent.
Ce type de suivi de session est très probablement effectué en combinant un cookie avec un identifiant unique identifiant votre session en cours et le site Web associant cet identifiant à la dernière adresse IP que vous avez utilisée pour vous connecter à son serveur.De cette façon, si l'adresse IP change, mais que vous avez toujours le cookie, vous êtes identifié et connecté, et si le cookie est absent mais que vous avez la même adresse IP que celle enregistrée sur le serveur, alors ils configurent votre cookie pour l'identifiant associé à cette adresse IP.
En réalité, c’est cette deuxième possibilité qui est difficile à mettre en œuvre.Si le cookie est manquant et que vous ne disposez que de votre adresse IP à afficher pour vous identifier, il est assez dangereux de connecter quelqu'un uniquement sur cette base.Donc les serveurs stockent probablement des informations supplémentaires sur vous, LSO semble être un bon choix, la géo-IP aussi, mais pas tellement l'agent utilisateur car ils ne disent rien sur vous, tout le monde utilise la même version du même navigateur que vous. a le même.
En passant, il a été mentionné ci-dessus que cela pourrait fonctionner avec les adresses MAC. Je suis fortement en désaccord! Votre adresse MAC n'atteint jamais le serveur de votre banque, car elle est uniquement utilisée pour identifier les côtés d'une connexion Ethernet, et pour vous connecter à votre banque, vous établissez un ensemble de connexions Ethernet :depuis votre ordinateur vers votre routeur domestique, ou votre FAI, puis de là vers le premier routeur internet par lequel vous passez, puis vers le second, etc...et chaque fois qu'une nouvelle connexion est établie, chaque machine de chaque côté fournit ses propres adresses MAC.Ainsi, votre adresse MAC ne peut être connue que des machines directement connectées à vous via un commutateur ou un hub, car tout ce qui achemine vos paquets remplacera votre MAC par le leur.Seule l’adresse IP reste toujours la même.Si les adresses MAC allaient jusqu’au bout, ce serait un cauchemar en matière de confidentialité, car toutes les adresses MAC sont uniques à un seul appareil, donc à une seule personne.
Il s'agit d'une explication légèrement simplifiée car ce n'est pas le but de la question, mais elle a semblé utile pour dissiper ce qui ressemblait à un malentendu.
Il est possible que les fichiers Flash stockent une petite quantité de données sur votre ordinateur.Il est également possible que la banque utilise cette approche pour « se souvenir » de votre ordinateur, mais il est risqué de s'appuyer sur le fait que les utilisateurs disposent (et ne désactivent pas) le flash.
Le site de ma banque me fait me réauthentifier chaque fois qu'une nouvelle version de Firefox est disponible, il y a donc certainement un composant de chaîne d'agent utilisateur dans certains.
Il peut s'agir d'une combinaison de cookies et de journalisation d'adresses IP.
Modifier:Je viens de vérifier ma banque et d'effacer les cookies.Maintenant, je dois ressaisir toutes mes informations.
Je pense que cela dépend de la banque.Ma banque utilise un cookie puisque je le perds lorsque j'efface les cookies.
Utilisez-vous un ordinateur portable ?Se souvient-il de vous, après avoir supprimé vos cookies, si vous accédez à partir d'un autre réseau WiFi ?Si tel est le cas, le mappage IP/emplacement physique est très improbable.
Sur la base de tous ces articles, les conclusions auxquelles je parviens sont (1) cela dépend de la banque et (2) il y a probablement plus d'une donnée impliquée, mais voir (1).
L'adresse MAC est possible.
Le mappage IP vers emplacement physique est également une possibilité.
Les agents utilisateurs et autres en-têtes HTTP sont également uniques à chacune des machines.
Je pense à ces sites Web qui vous empêchent d'utiliser des gestionnaires de téléchargement qui s'accélèrent.Il doit y avoir un moyen.
