銀行はどのようにして「あなたのコンピュータ」を覚えているのでしょうか?

Question

ご存知の方も多いと思いますが、最近のオンライン銀行には、パスワードを入力する前に個人的な質問をされるセキュリティ システムが導入されています。回答が完了すると、銀行が「このコンピュータを記憶する」ことを選択できるため、今後はパスワードを入力するだけでログインできるようになります。

「このコンピュータを記憶する」部分はどのように機能しますか?すべての Cookie をクリアしたにもかかわらず、この機能はまだ動作しているため、Cookie ではないことはわかっています。IP アドレスによるのではないかと考えましたが、動的 IP を持つ友人は、それが自分にも機能すると主張しています (しかし、おそらく彼は間違っています)。彼はそれが MAC アドレスか何かだと思っていましたが、私はそれを強く疑っています。では、クリアできない https 専用 Cookie の概念はあるのでしょうか?

最後に、質問のプログラミング部分:たとえば、PHP で同様のことを自分で行うにはどうすればよいでしょうか?

Answer 1

実際、彼らは Cookie を使用している可能性が高いです。代わりに「」を使用することもできます。フラッシュクッキー「（正式には「」と呼ばれます）ローカル共有オブジェクト")。これらは Web サイトに関連付けられており、サイズの上限があるという点で Cookie に似ていますが、Flash プレーヤーによって維持されるため、ブラウザ ツールには表示されません。

それらをクリアするには (そしてこの理論をテストするには)、次のようにします。 Adobe が提供する手順. 。もう 1 つの気の利いた (見方によっては、懸念すべきかもしれない) 機能は、LSO ストレージがすべてのブラウザで共有されるため、LSO を使用してユーザーを識別できることです。 たとえブラウザを切り替えたとしても (同じユーザーとしてログインしている限り)。

Answer 2

私が特に興味を持った銀行はバンク・オブ・アメリカです。

Cookie または LSO をクリアするだけであれば、サイトで情報を再入力する必要がないことを確認しました。ただし、両方をクリアした場合は、追加の認証を行う必要がありました。したがって、それが私の特定のケースにおける答えのようです。

しかし、他の銀行や、ユーザー エージェント文字列を含めるなどの可能性について注意してくださった皆様に感謝します。

Answer 3

この種のセッション追跡は、現在のセッションを識別する一意の ID を持つ Cookie と、その ID とサーバーへの接続に最後に使用した IP アドレスを組み合わせる Web サイトの組み合わせを使用して行われる可能性が非常に高くなります。そうすれば、IP が変わっても Cookie が残っている場合は、識別されてログインできます。Cookie は存在しないが、サーバーに保存されている IP アドレスと同じ IP アドレスを持っている場合は、Cookie が次のように設定されます。その IP とペアになっている ID。

実際のところ、正しく理解するのが難しいのは 2 番目の可能性です。Cookie が欠落しており、身元確認のために IP アドレスしか示されていない場合、それに基づいて誰かをログインさせるのは非常に危険です。したがって、サーバーはおそらくあなたに関する追加情報を保存します。LSOは良い選択のように思えます。地域IPもそうですが、ユーザーエージェントは、あなたについて実際には何も言わないため、あまり多くはありません。すべての組織があなたと同じバージョンの同じブラウザを使用しているためです。同じことを持っています。

余談ですが、MAC アドレスでも動作する可能性があることは上で述べました。 私は強く反対します！ MAC アドレスはイーサネット接続の側を識別するためにのみ使用され、銀行に接続するには多数のイーサネット接続を作成するため、銀行のサーバーに到達することはありません。コンピュータからホーム ルーターまたは ISP まで、そこから最初に経由するインターネット ルーター、次に 2 番目のインターネット ルーターなど...新しい接続が確立されるたびに、両側の各マシンが独自の MAC アドレスを提供します。したがって、パケットをルーティングする他のものはあなたの MAC を独自の MAC アドレスに置き換えるため、あなたの MAC アドレスは、スイッチまたはハブを介して直接接続されているマシンにのみ認識されます。IP アドレスだけがずっと変わりません。すべての MAC アドレスは 1 つのデバイス、つまり 1 人の個人に固有であるため、MAC アドレスが完全に使用されると、プライバシーの悪夢となるでしょう。

質問の主旨ではないので少し簡略化して説明しますが、誤解を解くには役に立ちそうです。

Answer 4

フラッシュ ファイルにより、コンピュータ上に少量のデータが保存される可能性があります。銀行があなたのコンピュータを「記憶」するためにそのアプローチを使用している可能性もありますが、ユーザーがフラッシュを持っている（そして無効にしていない）ことに依存するのは危険です。

Answer 5

私の銀行のサイトでは、Firefox の新しいバージョンがリリースされるたびに再認証を求められるため、一部にはユーザー エージェント文字列コンポーネントが確実に含まれています。

Answer 6

Cookie と IP アドレスのログを組み合わせたものである可能性があります。

編集：先ほど銀行を確認し、Cookie を消去しました。ここで、すべての情報を再入力する必要があります。

Answer 7

銀行によると思います。私の銀行では Cookie を消去すると Cookie が失われるため、Cookie を使用しています。

Answer 8

ラップトップを使用していますか?Cookie を削除した後、別の WiFi ネットワークからアクセスした場合、記憶されますか?その場合、IP/物理的な場所のマッピングは可能性が非常に低くなります。

Answer 9

これらすべての投稿に基づいて、私が到達した結論は、(1) それは銀行によって異なります、(2) おそらく複数のデータが関係していると考えられますが、(1) を参照してください。

Answer 10

MACアドレスも可能です。

IP から物理的な場所へのマッピングも可能です。

ユーザー エージェントとその他の HTTP ヘッダーも各マシンに固有のものです。

高速ダウンロード マネージャーの使用を妨げる Web サイトについて考えています。方法があるはずです。