Como os bancos se lembram do “seu computador”?
https://stackoverflow.com/questions/33034
-
09-06-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Como muitos de vocês provavelmente sabem, os bancos online hoje em dia possuem um sistema de segurança por meio do qual são feitas algumas perguntas pessoais antes mesmo de você inserir sua senha.Depois de respondê-las, você pode optar por que o banco “lembre-se deste computador” para que no futuro você possa fazer o login digitando apenas sua senha.
Como funciona a parte “lembrar deste computador”?Eu sei que não podem ser cookies, porque o recurso ainda funciona apesar de eu limpar todos os meus cookies.Achei que poderia ser por endereço IP, mas meu amigo com IP dinâmico afirma que funciona para ele também (mas talvez ele esteja errado).Ele pensou que fosse um endereço MAC ou algo assim, mas duvido muito disso!Então, existe um conceito de cookies somente https que não entendi?
Finalmente, a parte de programação da questão:como posso fazer algo semelhante em, digamos, PHP?
Solução
Na verdade, eles provavelmente usam cookies.Uma alternativa para eles seria usar "biscoitos instantâneos" (oficialmente chamado de "Objetos Compartilhados Locais").Eles são semelhantes aos cookies porque estão vinculados a um site e têm um limite máximo de tamanho, mas são mantidos pelo flash player, portanto, são invisíveis para qualquer ferramenta do navegador.
Para eliminá-los (e testar esta teoria), você pode usar as instruções fornecidas pela Adobe.Um outro recurso interessante (ou talvez preocupante, dependendo do seu ponto de vista) é que o armazenamento LSO é compartilhado por todos os navegadores, portanto, usando o LSO você pode identificar usuários mesmo se eles trocassem de navegador (desde que estejam logados como o mesmo usuário).
Outras dicas
O banco específico em que estou interessado é o Bank of America.
Confirmei que se eu apenas limpar meus cookies ou LSOs, o site não exigirá que eu insira novamente as informações.Se, no entanto, eu limpar ambos, terei que passar por uma autenticação adicional.Portanto, essa parece ser a resposta no meu caso particular!
Mas obrigado a todos pelo aviso sobre outros bancos e possibilidades como a inclusão da string User-Agent.
É muito provável que esse tipo de rastreamento de sessão seja feito usando uma combinação de um cookie com um ID exclusivo que identifica sua sessão atual e o site emparelhando esse ID com o último endereço IP que você usou para se conectar ao servidor.Dessa forma, se o IP mudar, mas você ainda tiver o cookie, você estará identificado e logado, e se o cookie estiver ausente, mas você tiver o mesmo endereço IP daquele salvo no servidor, então eles definirão seu cookie para o ID emparelhado com esse IP.
Na verdade, é essa segunda possibilidade que é difícil de acertar.Se o cookie estiver faltando e você só tiver seu endereço IP para mostrar para identificação, não é seguro fazer login de alguém apenas com base nisso.Portanto, os servidores provavelmente armazenam informações adicionais sobre você, o LSO parece uma boa escolha, o IP geográfico também, mas o User Agent, nem tanto porque eles realmente não dizem nada sobre você, todos usam a mesma versão do mesmo navegador que você Tem o mesmo.
Além disso, foi mencionado acima que ele poderia funcionar com endereços MAC. Eu discordo fortemente! Seu endereço MAC nunca chega ao servidor do seu banco, pois eles são usados apenas para identificar os lados de uma conexão Ethernet, e para se conectar ao seu banco você faz várias conexões Ethernet:do seu computador para o roteador doméstico ou ISP, depois para o primeiro roteador de Internet que você usa, depois para o segundo, etc.e cada vez que uma nova conexão é feita, cada máquina de cada lado fornece seus próprios endereços MAC.Portanto, seu endereço MAC só pode ser conhecido pelas máquinas diretamente conectadas a você por meio de um switch ou hub, porque qualquer outra coisa que roteia seus pacotes substituirá seu MAC pelo deles.Apenas o endereço IP permanece o mesmo durante todo o caminho.Se os endereços MAC chegassem até o fim, seria um pesadelo de privacidade, já que todos os endereços MAC são exclusivos de um único dispositivo e, portanto, de uma única pessoa.
Esta é uma explicação um pouco simplificada porque não é o objetivo da pergunta, mas pareceu útil para esclarecer o que parecia ser um mal-entendido.
É possível que arquivos flash armazenem uma pequena quantidade de dados em seu computador.Também é possível que o banco use essa abordagem para “lembrar” do seu computador, mas é arriscado confiar que os usuários tenham (e não tenham desativado) o flash.
O site do meu banco me faz autenticar novamente sempre que uma nova versão do Firefox é lançada, então há definitivamente um componente de string do agente do usuário em alguns.
Pode ser uma combinação de cookies e registro de endereço IP.
Editar:Acabei de verificar meu banco e limpar os cookies.Agora tenho que inserir novamente todas as minhas informações.
Acho que depende do banco.Meu banco usa um cookie, pois eu o perco quando apago os cookies.
Você está usando um laptop?Ele lembra de você, depois de excluir seus cookies, se você acessar de uma rede WiFi diferente?Nesse caso, o mapeamento de localização IP/física é altamente improvável.
Com base em todas essas postagens, as conclusões a que cheguei são (1) depende do banco e (2) provavelmente há mais de um dado envolvido, mas veja (1).
O endereço MAC é possível.
O mapeamento de IP para localização física também é uma possibilidade.
Os agentes de usuário e outros cabeçalhos HTTP também são exclusivos para cada uma das máquinas.
Estou pensando naqueles sites que impedem você de usar gerenciadores de download aceleradores.Deve haver uma maneira.
