Come identificare un dispositivo utente

Naviga le tue risposte
3

Voglio implementare qualcosa di simile a gmail, in cui l'accesso da un nuovo dispositivo farà sì che l'utente confermi che è attraverso una qualche forma di MFA. Tuttavia, non sono sicuro di cosa usare per determinare che un nuovo dispositivo è stato utilizzato su diversi sistemi e dispositivi (ad esempio, desktop, tablet, ecc.)

Il mio primo pensiero è stato quello di utilizzare l'indirizzo IP pubblico, ma questo può cambiare molto frequentemente, quindi non è molto utile.

Il mio secondo pensiero è usare l'IP privato. La memorizzazione degli IP privati degli utenti è una cattiva idea?

C'è una terza opzione migliore?

Modifica: per chiarire, desidero sapere quali dati utilizzare per determinare se un nuovo dispositivo viene utilizzato o meno (non come autenticare l'utente dopo aver determinato che viene utilizzato un nuovo dispositivo).

    
posta yitzih 02.04.2017 - 03:21
fonte

3 risposte

2

Questo può essere implementato in molti modi, ma tutti quelli che hai elencato sono terribili da soli.

Gli IP privati non saranno mai utili. Più utenti in reti diverse possono avere lo stesso IP privato. Anche gli IP pubblici da soli sono altrettanto negativi: possono essere falsificati o, in diversi casi, vengono utilizzati contemporaneamente più persone (le grandi organizzazioni utilizzano spesso IP pubblici statici per molti utenti).

Quello che dovresti guardare è una combinazione di quanto segue:

  • IP pubblico (memorizzali in modo da sapere qual è l'area di accesso più comune dell'utente)

  • Nome host

  • Risoluzione dello schermo

  • Piattaforma (cellulare o desktop)

  • Versioni del sistema operativo (generalmente l'utente usa OSX ma sembra che improvvisamente sia passato a Windows?)

In effetti, ci sono molte informazioni che puoi usare. Questo sito fa un buon lavoro mostrandoti cosa puoi usare.

Ricorda: usa una combinazione dei dati che recuperi. Non utilizzare solo IP o sistemi operativi come unico modo in cui neghi l'accesso.

    
risposta data 02.04.2017 - 07:42
fonte
1

Un modo estremamente comune per tenere traccia di questo è con i cookie http standard. Ciò si manterrà quando un utente si sposta da una posizione all'altra, si perde solo quando cancella i cookie o cambia browser (non spesso, se mai, per la maggior parte degli utenti) e fa un lavoro abbastanza buono di conferma che questo dispositivo è attendibile.

    
risposta data 02.04.2017 - 09:40
fonte
-1

Alcuni tipi di 2fa come autenticatore di Google, puoi aggiungere tempo basato su otp alla tua applicazione, che sembra essere il modo migliore per farlo.

Modifica: considera le variabili che indicano che il dispositivo è un nuovo dispositivo dell'utente. Un certo tipo di ID dispositivo permanente, ad es. Imei ecc., È ottimo per identificare i dispositivi esatti, ma è solo dopo un'autenticazione valida che si saprà che il dispositivo proviene da un utente valido.

    
risposta data 02.04.2017 - 04:27
fonte

Leggi altre domande sui tag

Ambito PCI quando si inseriscono i dettagli della carta nel browser Dovremmo confermare altri dettagli personali prima delle domande di sicurezza durante il reset della password?