Identificazione del dispositivo per la sfida 2FA

0

La maggior parte dei siti che prendono sul serio la sicurezza, cercano di identificare il momento in cui si utilizza un nuovo dispositivo (o "sconosciuto") per accedere al proprio account online. Ad esempio, quando accedi da un altro computer a mail.google.com ti chiederanno 2FA o almeno ti invierà una mail in cui affermi che hanno rilevato di aver effettuato l'accesso da una nuova posizione (con un metodo per bloccare l'accesso ).

I miei pensieri sono di memorizzare un hash casuale (o persino un token JWT) in un cookie. Tuttavia, questo pone il problema che se l'utente cancella i propri cookie verrà richiesto 2FA. Questo di per sé non è un problema, ma vorrei evitarlo se posso.

Questo mi porta forse a usare un ever-cookie (qualcosa come link ). Tuttavia, questo potrebbe essere disapprovato mentre cerco di rintracciarli per scopi oscuri.

Non riesco ad accertare quale dovrebbe essere il comportamento accettabile qui.

Opinione?

    
posta Sarel 14.08.2017 - 19:28
fonte

1 risposta

1

Il comportamento accettabile secondo me è semplicemente quello di informare l'utente finale di perché? & che cosa? viene eseguito dal tuo sistema, quindi almeno possono valutarlo se vorrebbero usarlo e magari dare loro la possibilità di disabilitarlo.

Tutto questo può anche essere fatto senza i cookie, è possibile catturare le "impronte digitali" dei dispositivi quando viene effettuato il login e verificare se tale "impronta digitale" è consentita o meno: nuova impronta digitale del dispositivo (notifica al proprietario)

Dato che si parla di JS, ecco un Device Fingerprinting Lib: ClientJS

    
risposta data 14.08.2017 - 20:15
fonte

Leggi altre domande sui tag