Registrazione a livello di computer da parte di istituti finanziari

Naviga le tue risposte
3

Sto cercando l'approccio migliore per riconoscere un computer specifico e salvare quel computer come una macchina di accesso "sicura". La mia intuizione mi indica l'utilizzo dei cookie, ma quale valore immagazzino lì per assicurarmi che sia sicuro? Quali dati faccio a rimandi per assicurarmi che il cookie non sia stato rubato da un altro computer?

Alcuni esempi di ciò che sto cercando di realizzare sono i siti web delle principali istituzioni bancarie, come Chase, Bank of America, ecc. Sembra che ricordino se un computer accede al sito per la prima volta.

Potrei aver dichiarato questo problema in modo strano, ma non conosco nessun altro modo per descriverlo - forse qualcuno può interpretare la terminologia di sicurezza corretta per questa tecnica. Anche se sono relativamente nuovo alla sicurezza, sono disposto a imparare!

Grazie

    
posta danyim 31.01.2012 - 21:09
fonte

2 risposte

4

Non sono sicuro di quale metodo le banche che hai elencato usano per questo, ma farei una combinazione di molte cose, per lo più lato server e memorizzato in un database.

Dichiarazione di non responsabilità: nessuna di queste cose è assolutamente infallibile.

  • Agente utente
  • Primo e secondo ottetto di indirizzo IP (potrebbe non essere fattibile con IP dinamico, questo è ancora in elaborazione nella mia testa)
  • I giorni medi della settimana / ora del giorno si registrano in
  • Cookie del browser contenente un token casuale

Queste cose creano una firma dell'ambiente tipico da cui un utente accede. Quando ciò cambia, chiediamo un elemento di autenticazione aggiuntivo.

Quando un utente effettua l'accesso e uno o più di quei campi memorizzati nel database non corrispondono, vorrei chiedere la frase segreta, o qualunque campo tu usi.

Sono sicuro che ci sono altri modi, e altri campi che puoi memorizzare per confrontarti, sono solo alcuni dei pochi che mi sono venuti in mente.

    
risposta data 31.01.2012 - 21:20
fonte
2

Ciò che alcune grandi banche stanno facendo sta utilizzando prodotti come Rapporti del fiduciario - che fornisce un agente al computer dell'utente che esegue la conferma che la macchina è "sicura" e non è stata indirizzata a nessun sito Web dannoso noto.

Esistono altre soluzioni commerciali e basate su agenti interni a questo problema, ma tutto ciò che fanno è rendere più difficile la parte di spoofing di un attacco.

Molte banche effettuano già analisi statistiche sul traffico di rete, e non solo sul traffico dei pagamenti, al fine di identificare più rapidamente potenziali frodi, ma non si tratta tanto di identificare un particolare computer, ma di identificare anomalie comportamentali.

    
risposta data 01.02.2012 - 12:14
fonte

Leggi altre domande sui tag

Revisione degli IP che sono stati bloccati dal firewall / router Valore chiave e sicurezza HMAC