Come fanno le banche a ricordare il “tuo computer”?

Question

Come molti di voi probabilmente sapranno, oggi le banche online dispongono di un sistema di sicurezza in base al quale ti vengono poste alcune domande personali prima ancora di inserire la password.Una volta che avrai risposto, potrai scegliere che la banca "ricordi questo computer" in modo che in futuro tu possa accedere inserendo solo la tua password.

Come funziona la parte "ricorda questo computer"?So che non possono essere i cookie, perché la funzionalità funziona ancora nonostante io cancelli tutti i cookie.Pensavo che potesse essere tramite l'indirizzo IP, ma il mio amico con un IP dinamico afferma che funziona anche per lui (ma forse si sbaglia).Pensava che fosse un indirizzo MAC o qualcosa del genere, ma ne dubito fortemente!Quindi, esiste un concetto di cookie solo https che non capisco?

Infine, la parte di programmazione della domanda:come posso fare qualcosa di simile da solo, ad esempio, in PHP?

Answer 1

Infatti molto probabilmente utilizzano i cookie.Un'alternativa per loro sarebbe quella di utilizzare "cookie flash" (ufficialmente chiamato "Oggetti condivisi locali").Sono simili ai cookie in quanto sono legati a un sito web e hanno un limite di dimensione superiore, ma vengono gestiti dal flash player, quindi sono invisibili a qualsiasi strumento del browser.

Per eliminarli (e testare questa teoria), puoi usare le istruzioni fornite da Adobe.Un'altra caratteristica interessante (o forse preoccupante, a seconda del punto di vista) è che lo spazio di archiviazione LSO è condiviso da tutti i browser, quindi utilizzando LSO puoi identificare gli utenti anche se hanno cambiato browser (purché abbiano effettuato l'accesso come lo stesso utente).

Answer 2

La banca in particolare che mi interessava è la Bank of America.

Ho confermato che se cancello solo i miei cookie o i miei LSO, il sito non mi richiede di reinserire le informazioni.Se, tuttavia, li cancellavo entrambi, dovevo sottopormi a un'ulteriore autenticazione.Quindi, questa sembra essere la risposta nel mio caso particolare!

Ma grazie a tutti per gli avvisi riguardanti altre banche e per le possibilità come l'inclusione della stringa User-Agent.

Answer 3

È molto probabile che questo tipo di monitoraggio della sessione venga eseguito utilizzando una combinazione di un cookie con un ID univoco che identifica la sessione corrente e il sito Web associa tale ID con l'ultimo indirizzo IP utilizzato per connettersi al loro server.In questo modo, se l'IP cambia, ma hai ancora il cookie, sei identificato e loggato, e se il cookie è assente ma hai lo stesso indirizzo IP di quello salvato sul server, allora impostano il tuo cookie su l'ID abbinato a quell'IP.

In realtà, è la seconda possibilità che è difficile da realizzare.Se il cookie manca e hai solo il tuo indirizzo IP da mostrare per l'identificazione, è abbastanza pericoloso accedere a qualcuno solo basandosi su quello.Quindi i server probabilmente memorizzano informazioni aggiuntive su di te, LSO sembra una buona scelta, anche l'IP geografico, ma User Agent, non tanto perché in realtà non dicono nulla su di te, tutti utilizzano la tua stessa versione dello stesso browser ha lo stesso.

Per inciso, è stato menzionato sopra che potrebbe funzionare con gli indirizzi MAC. Sono fortemente in disaccordo! Il tuo indirizzo MAC non raggiunge mai il server della tua banca, poiché vengono utilizzati solo per identificare i lati di una connessione Ethernet e per connetterti alla tua banca devi effettuare una serie di connessioni Ethernet:dal tuo computer al router di casa, o al tuo ISP, poi da lì al primo router Internet che attraversi, poi al secondo, ecc...e ogni volta che viene effettuata una nuova connessione, ciascuna macchina su ciascun lato fornisce i propri indirizzi MAC.Quindi il tuo indirizzo MAC può essere noto solo alle macchine direttamente connesse a te tramite uno switch o un hub, perché qualsiasi altra cosa che instrada i tuoi pacchetti sostituirà il tuo MAC con il proprio.Solo l'indirizzo IP rimane sempre lo stesso.Se gli indirizzi MAC arrivassero fino in fondo, sarebbe un incubo per la privacy, poiché tutti gli indirizzi MAC sono unici per un singolo dispositivo, quindi per una singola persona.

Questa è una spiegazione un po' semplificata perché non è questo il punto della domanda, ma ci è sembrata utile per chiarire quello che sembrava un malinteso.

Answer 4

È possibile che i file flash memorizzino una piccola quantità di dati sul tuo computer.È anche possibile che la banca utilizzi questo approccio per "ricordare" il tuo computer, ma è rischioso fare affidamento sul fatto che gli utenti abbiano (e non abbiano disabilitato) Flash.

Answer 5

Il sito della mia banca mi obbliga a ripetere l'autenticazione ogni volta che esce una nuova versione di Firefox, quindi in alcuni c'è sicuramente un componente stringa user-agent.

Answer 6

Potrebbe trattarsi di una combinazione di cookie e registrazione dell'indirizzo IP.

Modificare:Ho appena controllato la mia banca e cancellato i cookie.Ora devo reinserire tutte le mie informazioni.

Answer 7

Penso che dipenda dalla banca.La mia banca utilizza un cookie poiché lo perdo quando pulisco i cookie.

Answer 8

Stai usando un laptop?Si ricorda di te, dopo aver eliminato i cookie, se accedi da una rete WiFi diversa?In tal caso, la mappatura dell'IP/della posizione fisica è altamente improbabile.

Answer 9

Sulla base di tutti questi post, le conclusioni a cui sto giungendo sono (1) dipende dalla banca e (2) probabilmente è coinvolto più di un dato, ma vedi (1).

Answer 10

L'indirizzo MAC è possibile.

È anche possibile la mappatura dell'IP con la posizione fisica.

Anche gli user agent e le altre intestazioni HTTP sono abbastanza uniche per ciascuna macchina.

Sto pensando a quei siti web che ti impediscono di utilizzare gestori di download accelerati.Ci deve essere un modo.