은행은 "귀하의 컴퓨터"를 어떻게 기억합니까?

Question

많은 분들이 알고 계시 겠지만 오늘날 온라인 은행에는 비밀번호를 입력하기 전에 몇 가지 개인적인 질문을받는 보안 시스템이 있습니다.답변을 마치면 은행에서 "이 컴퓨터를 기억"하도록 선택하여 나중에 비밀번호 만 입력하여 로그인 할 수 있습니다.

"이 컴퓨터 기억"부분은 어떻게 작동합니까?모든 쿠키를 삭제 했음에도 불구하고 기능이 계속 작동하기 때문에 쿠키가 될 수 없다는 것을 알고 있습니다.나는 그것이 IP 주소에 의한 것이라고 생각했지만 동적 IP를 가진 내 친구도 그것이 그에게 효과가 있다고 주장합니다 (그러나 그가 틀렸을 수도 있습니다).그는 그것이 MAC 주소라고 생각했지만 나는 그것을 강력히 의심합니다!그럼 제가 명확하지 않은 https 전용 쿠키 개념이 있나요?

마지막으로 질문의 프로그래밍 부분입니다. PHP에서 비슷한 작업을 수행하려면 어떻게해야합니까?

Answer 1

사실 그들은 대부분 쿠키를 사용합니다.이에 대한 대안은 " 플래시 쿠키 "(공식적으로 " 로컬 공유 객체 ").웹 사이트에 연결되어 있고 크기 제한이 상한이라는 점에서 쿠키와 유사하지만 플래시 플레이어에서 유지 관리하므로 모든 브라우저 도구에 표시되지 않습니다.

이를 지우고이 이론을 테스트하려면 Adobe에서 제공하는 지침 .또 다른 멋진 (또는 관점에 따라 걱정할 수있는) 기능은 LSO 저장소가 모든 브라우저에서 공유되므로 LSO를 사용하면 브라우저를 전환 한 경우에도 사용자를 식별 할 수 있습니다.동일한 사용자로 로그인).

Answer 2

내가 관심을 보인 은행은 Bank of America입니다.

쿠키 또는 LSO 만 삭제하면 사이트에서 정보를 다시 입력 할 필요가 없음을 확인했습니다.그러나 두 가지를 모두 지우면 추가 인증을 거쳐야했습니다.따라서 이것이 저의 경우에 대한 답인 것 같습니다!

그러나 다른 은행과 사용자 에이전트 문자열을 포함하는 것과 같은 가능성에 대해 알려 주신 모든 분들께 감사드립니다.

Answer 3

이러한 종류의 세션 추적은 현재 세션을 식별하는 고유 ID가있는 쿠키와 해당 ID를 서버에 연결하는 데 사용한 마지막 IP 주소와 페어링하는 웹 사이트의 조합을 사용하여 수행 될 가능성이 높습니다. 이렇게하면 IP가 변경되었지만 여전히 쿠키가있는 경우 식별되고 로그인되고 쿠키가 없지만 서버에 저장된 IP 주소와 동일한 IP 주소가있는 경우 쿠키를 다음과 같이 설정합니다. 해당 IP와 쌍을 이루는 ID입니다.

정확하게, 제대로하기가 까다로운 두 번째 가능성입니다. 쿠키가없고 식별을 위해 표시 할 IP 주소 만있는 경우이를 기반으로 누군가를 로그인하는 것은 매우 안전하지 않습니다. 따라서 서버는 아마도 사용자에 대한 추가 정보를 저장하고 LSO는 좋은 선택 인 것처럼 보이지만 지리적 IP도 좋지만 사용자 에이전트는 사용자에 대해 실제로 아무 말도하지 않기 때문에 그다지 많지 않습니다. 모든 신체는 사용자와 동일한 브라우저의 동일한 버전을 사용합니다. 동일합니다.

제외로 MAC 주소와 함께 작동 할 수 있다고 위에서 언급했습니다. 동의하지 않습니다! MAC 주소는 이더넷 연결의 측면을 식별하고 은행에 연결하는 데만 사용되므로 은행 서버에 도달하지 않습니다. 컴퓨터에서 이더넷으로 연결합니다. 홈 라우터 또는 ISP에 연결 한 다음 거기에서 통과하는 첫 번째 인터넷 라우터, 두 번째 인터넷 라우터 등으로 이동합니다. 새 연결이 설정 될 때마다 각 컴퓨터에서 고유 한 MAC 주소를 제공합니다. . 따라서 MAC 주소는 스위치 나 허브를 통해 사용자에게 직접 연결된 시스템에서만 알 수 있습니다. 패킷을 라우팅하는 다른 모든 것이 MAC 주소를 자신의 것으로 대체하기 때문입니다. IP 주소 만 항상 동일하게 유지됩니다. MAC 주소가 끝까지 갔다면 모든 MAC 주소가 단일 장치에 고유하므로 한 사람에게만 부여되므로 개인 정보 보호 문제가 될 수 있습니다.

이것은 질문의 요점이 아니기 때문에 약간 단순화 된 설명이지만 오해처럼 보이는 것을 명확히하는 것이 유용 해 보였습니다.

Answer 4

플래시 파일이 컴퓨터에 소량의 데이터를 저장할 수 있습니다.은행에서 이러한 접근 방식을 사용하여 컴퓨터를 "기억"할 수도 있지만 사용자가 플래시를 사용하고 사용 중지하지 않은 것에 의존하는 것은 위험합니다.

Answer 5

내 은행 사이트에서는 Firefox의 새 버전이 나올 때마다 재 인증을 받기 때문에 일부에는 확실히 사용자 에이전트 문자열 구성 요소가 있습니다.

Answer 6

쿠키와 IP 주소 로깅의 조합 일 수 있습니다.

수정 : 방금 은행을 확인하고 쿠키를 삭제했습니다.이제 모든 정보를 다시 입력해야합니다.

Answer 7

은행에 따라 다릅니다.내 은행은 쿠키를 지울 때 잃어 버리기 때문에 쿠키를 사용합니다.

Answer 8

노트북을 사용하십니까?쿠키를 삭제 한 후 다른 WiFi 네트워크에서 액세스하는 경우 기억합니까?그렇다면 IP / 물리적 위치 매핑은 거의 불가능합니다.

Answer 9

이 모든 게시물을 바탕으로 내가 도달 한 결론은 (1) 은행에 따라 다르며 (2) 관련 데이터가 한 개 이상있을 수 있지만 (1)을 참조하십시오.

Answer 10

MAC 주소가 가능합니다.

IP 대 물리적 위치 매핑도 가능합니다.

사용자 에이전트 및 기타 HTTP 헤더는 각 시스템마다 고유합니다.

빠른 다운로드 관리자를 사용하지 못하게하는 웹 사이트에 대해 생각하고 있습니다.방법이 있어야합니다.