Il blocco del cookie sull'IP non è pratico. Immagina un telefono cellulare che cambia costantemente reti.
Ho sentito parlare di bloccare il cookie sulle chiavi di sessione SSL in applicazioni ad alta sicurezza. Il server consentirebbe un cookie specifico solo se viene fornito tramite la sessione SSL specifica utilizzata per avviare quel cookie.
Un modo diverso di rendere il cookie inutilizzabile su un altro computer è impronte digitali del computer originale. La combinazione di sistema operativo, browser, risoluzione dello schermo, componenti aggiuntivi installati, può formare un'impronta digitale unica che identifica un computer.
Quando i cookie di hit e di sessione Heartbleed sono stati esposti, un sacco di autenticazione di secondo fattore è diventato inutile e il "ricordami" peggiora il problema perché i cookie non scadono alla fine di una sessione.
La funzionalità "ricordami" è per comodità. La convenienza è quasi sempre in disaccordo con la sicurezza. Immagina di utilizzare il riconoscimento vocale nel tuo ufficio per inserire comodamente le password e il secondo fattore. Il multi fattore riduce la convenienza e aumenta la sicurezza.
In realtà, l'autenticazione a più fattori richiede gli input multipli dall'utente mentre il "ricordami" viene utilizzato per chiedere gli input less . Stai chiedendo qualcosa che aumenti la sicurezza e di convenienza. È qui che la ricerca sulla nuova autenticazione viene attualmente applicata. La biometria, i dispositivi personali e altre tecnologie stanno lavorando per raggiungere questo obiettivo.
- Servizi come LastPass e KeePass possono fornire l'illusione del "ricordami" e avere ancora maggiore sicurezza.
- Google sta lavorando su suoneria e una tecnologia che utilizza il smartphone e l'audio non udibile per autenticare l'utente.
-
YubiKey è un dispositivo hardware che può eliminare il ricordo e la digitazione delle password.