Qual è il termine per richiedere a un utente di eseguire un ulteriore processo di attivazione / verifica solo sui nuovi dispositivi?

Naviga le tue risposte
1

Quando accedo al sito Web della mia banca su un nuovo dispositivo (sia esso un nuovo telefono o un browser Web che non ho mai usato prima), viene richiesto di inviare un codice di attivazione al mio telefono o email. Devo inserire questo codice monouso prima che mi consenta di accedere.

La prossima volta che effettuo il login non devo farlo, a meno che non sia successo qualcosa come ho eliminato tutti i miei cookies o qualcosa del genere. Potrei persino avere l'autenticazione a più fattori attivata dove devo fare qualcos'altro come inserire un'altra frase o un codice da un dongle o qualcosa del genere ma non devo fare il codice di verifica tramite un messaggio di testo o altri mezzi a meno che qualcosa cambia al mio browser / situazione del dispositivo.

Qual è il termine per questo? La maggior parte dei termini di autenticazione

posta Tom Kidd 12.02.2015 - 17:16
fonte

1 risposta

4

Ciò rientra nell'area Adaptive Authentication , sebbene tale termine copra l'intero pacchetto - decidendo chi sei basato su più fattori e ottenendo più rassicurazione usando più risorse, tra cui l'eliminazione dei cookie per agire come un fattore nelle future autenticazioni.

Un paio di esempi ben noti sono:

Determinare se provieni da un dispositivo di cui il server è a conoscenza è un "cookie dispositivo" in ForgeRock o "identificazione dispositivo" in RSA. Ma, in realtà, hanno diversi fattori a cui assegnano i pesi quando decidono di fidarti di te:

  • Sono mancate le autenticazioni fallite per questo account?
  • L'indirizzo IP del client è presente in una whitelist?
  • L'indirizzo IP del client è in una buona geolocalizzazione?
  • L'account ha effettuato l'accesso da questo indirizzo in precedenza?
  • Il dispositivo viene riconosciuto dagli accessi effettuati in passato (ad es. cookie di dispositivo?)
  • Quanto tempo è passato dall'ultimo accesso a questo account?

Proveniente da un dispositivo riconosciuto è pesantemente pesato, quindi se quel cookie del dispositivo manca, spesso devi fare il lavoro per ottenerlo. Ma è del tutto possibile scrivere una politica in cui non è così, data la varietà di controlli che puoi utilizzare per determinare la fiducia.

    
risposta data 12.02.2015 - 17:47
fonte

Leggi altre domande sui tag

Come forzare i client a navigare su Internet tramite Squid Proxy L'uso di un MAC per la crittografia elimina la necessità di riempire PKCS7 con questa classe?