¿Cómo puede el Bank of America saber que estoy iniciando sesión en una computadora que no he usado antes?

4

Cuando inicia sesión en Bank of America por primera vez en una computadora que no ha usado con ellos antes, lo detectan y lo obligan a responder una de sus preguntas de seguridad. Creo que he visto a BoA hacer esto cuando inicio sesión con otro navegador en la misma computadora. Sin embargo, si borro el caché del navegador, no me vuelven a preguntar.

¿Cómo identifica (es probable) Bank of America la computadora que estoy usando para iniciar sesión?

Lo pregunto porque creo que podría ser una buena idea implementar una medida de seguridad similar en mis sitios web.

    
pregunta John 06.05.2013 - 18:18
fuente

2 respuestas

11

Estoy dispuesto a apostar a que en realidad no identifican la computadora, solo te envían una cookie persistente una vez que has iniciado sesión correctamente, y siempre que tu navegador devuelva esa cookie, sabrán que se ha utilizado anteriormente. máquina.

Debería poder probar esto con bastante facilidad utilizando algo como la barra de herramientas para desarrolladores web de Firefox, que le permitirá a ambos examinar todas las cookies que está enviando a un dominio específico y le permitirá eliminar las cookies de un dominio específico. . Si elimina las cookies para el sitio web de Bank of America y luego intenta iniciar sesión nuevamente, debe volver a obtener el flujo de trabajo "Está utilizando una nueva computadora" si, de hecho, están utilizando una cookie para determinar qué flujo de trabajo debe presentarle.

Además de las cookies, existen varios métodos que podrían utilizar para reconocer su máquina.

Además, los mecanismos de almacenamiento se pueden combinar (como aparece en Bank of America hace, o al menos lo hizo en un punto .) El ejemplo final de esto, hasta ahora, es un proyecto conocido como evercookie cuyo objetivo es hacer que el seguimiento del navegador sea lo más difícil de derrotar posible.

    
respondido por el Xander 06.05.2013 - 18:34
fuente
5

Los bancos como BoA usan un motor de decisión basado en el riesgo que examina varias variables, entre las que se incluyen:

  • Su dirección IP visible
  • La "firma" de su brower, que incluye el encabezado de agente de usuario y las propiedades de visualización detectables, como la resolución de pantalla
  • La presencia de una cookie persistente
  • La presencia de datos en otro almacén persistente, como un token de billetera de Flash

El motor de riesgo usa los datos anteriores y se compara con varias reglas de riesgo que están configuradas por el banco. Las reglas incluyen geolocalización de IP y listas negras, problemas conocidos de seguridad del navegador y exposición a riesgos específicos de su perfil (por ejemplo, si usted es un cliente de gran riqueza). El motor de riesgo calcula una puntuación y decide si le solicita un segundo factor de autenticación, que a veces puede ser una contraseña única o una pregunta de KBA (autenticación basada en el conocimiento) (por ejemplo, el nombre de su primera mascota).

Algunos bancos realizarán esta comprobación solo cuando inicie sesión. Otros bancos realizan una verificación de riesgo sensible al contetexto con cada transacción, por ejemplo. Si transfiere un millón de dólares a una cuenta externa, tiene un riesgo mayor que transferir $ 10 a su cuenta de préstamo.

    
respondido por el John Wu 09.07.2014 - 22:30
fuente

Lea otras preguntas en las etiquetas