In che modo Google rileva i nuovi dispositivi per l'autenticazione a due fattori

Naviga le tue risposte
14

Quando attivi la verifica in due passaggi per gli account google, ti viene inviato un codice tramite SMS per inserire oltre al nome utente e alla password la prima volta che accedi con un nuovo dispositivo .

Come fanno a sapere che sei su un nuovo dispositivo? Immagino per sicurezza che è probabilmente una generazione serveride di un'impronta digitale del dispositivo, ma sicuramente un iPhone 5 è molto simile a un altro - come possono essere differenziati dato il modo in cui funziona il servizio?

    
posta Oliver Kohll 08.06.2013 - 12:09
fonte

2 risposte

13

Utilizza i cookie . Usa chrome in modalità normale e accedi con 2FA. Apri una sessione in incognito * di Chrome e sarà un "nuovo dispositivo". L'unica differenza tra i due è che quest'ultimo non ha cookie (forse ha anche un diverso set di estensioni, ma è improbabile che Google stia usando impronta digitale del browser * )

In effetti, ho l'impressione che il cookie duri solo 30 giorni.

* assicurati che, se hai delle estensioni, siano TUTTE le consentite in modalità in incognito e vedrai che non esiste alcuna "impronta digitale del browser", come per la risposta di @David Houde.

    
risposta data 10.06.2013 - 03:18
fonte
1

Non sono completamente sicuro di ciò che Google utilizza, ma ci sono molti modi per identificare un sistema, nessuno dei quali è al 100%.

Il più comune sarebbe utilizzare i cookie o la memorizzazione locale per contenere un identificativo univoco.

Un altro metodo comune è quello di archiviare i dati User-Agent, tra cui Risoluzione / Color Depth, Fuso orario, Caratteri disponibili e anche Browser Plugin. Mentre questi fanno un buon lavoro aggiungendo all'impronta digitale, nel caso di un attacco mirato, questa informazione è più o meno pubblica (o al massimo relativamente relativamente facile da acquisire), e facile da falsificare.

Ci sono alcune buone informazioni su EFF se sei interessato alle impronte digitali del browser.

    
risposta data 08.06.2013 - 12:59
fonte

Leggi altre domande sui tag

È sicuro compilare automaticamente i numeri delle carte di credito tramite Chrome? Qual è il modo standard per crittografare un file con una chiave pubblica in Java?