Come può la Bank of America affermare che sto effettuando l'accesso su un computer che non ho mai usato prima?

4

Quando accedi a Bank of America per la prima volta su un computer che non hai mai usato con loro, lo rileva e ti costringe a rispondere a una delle tue domande di sicurezza. Penso di aver visto fare BoA quando accedo con un altro browser sullo stesso computer. Se cancello la cache del browser, però, non mi chiedono più.

In che modo Bank of America (probabilmente) identifica in modo univoco il computer che sto utilizzando per accedere?

Chiedo perché penso che potrebbe essere una buona idea implementare una misura di sicurezza simile sui miei siti web.

    
posta John 06.05.2013 - 18:18
fonte

2 risposte

11

Sono disposto a scommettere che in realtà non identificano il computer, semplicemente ti inviano un cookie persistente dopo che hai effettuato l'accesso, e finché il browser restituisce quel cookie, sanno che è un usato in precedenza macchina.

Dovresti essere in grado di testare questo abbastanza facilmente usando qualcosa come la barra degli sviluppatori Web di Firefox che ti consentirà di esaminare entrambi i cookie che invii a un dominio specifico e ti consentirà di eliminare i cookie per un dominio specifico . Se si eliminano i cookie per il sito Web Bank of America e quindi si tenta di accedere nuovamente, è necessario ottenere nuovamente il flusso di lavoro "Stai utilizzando un nuovo computer" se effettivamente stanno utilizzando un cookie per determinare quale flusso di lavoro deve essere presentato all'utente.

Oltre ai cookie, ci sono un certo numero di metodi che potrebbero essere utilizzati per riconoscere la tua macchina.

Inoltre, i meccanismi di archiviazione possono essere combinati (come appare Bank of America fa, o almeno ha fatto a un certo punto .) L'ultimo esempio di questo, finora, è un progetto noto come evercookie che mira a rendere il monitoraggio persistente del browser il più difficile da sconfiggere possibile.

    
risposta data 06.05.2013 - 18:34
fonte
5

Banche come BoA utilizzano un motore decisionale basato sul rischio che esamina diverse variabili, tra cui, a titolo esemplificativo ma non esaustivo:

  • Il tuo indirizzo IP visibile
  • La "firma" del tuo brower, che include l'intestazione user-agent e le proprietà di visualizzazione rilevabili come la risoluzione dello schermo
  • La presenza di un cookie persistente
  • La presenza di dati in un altro archivio persistente, come un token di portafoglio Flash

Il motore di rischio utilizza i dati sopra riportati e li confronta con le varie regole di rischio configurate dalla banca. Le regole includono la geolocalizzazione IP e la lista nera, i noti problemi di sicurezza del browser e l'esposizione al rischio in particolare per il tuo profilo (ad esempio se sei un cliente con un alto patrimonio). Il motore di rischio calcola un punteggio e decide se richiedere un secondo fattore di autenticazione, che a volte può essere una password monouso o una domanda KBA (autenticazione basata sulla conoscenza) (ad esempio il nome del primo animale domestico).

Alcune banche effettueranno questo controllo solo quando effettuerai l'accesso. Altre banche eseguono un controllo del rischio sensibile al contetxt con ogni singola transazione, ad es. se stai collegando un milione di dollari a un account esterno, sei più a rischio che trasferire $ 10 sul tuo account di prestito.

    
risposta data 09.07.2014 - 22:30
fonte

Leggi altre domande sui tag