Identificación del navegador para asegurar el inicio de sesión

1

¿Es una buena idea identificar si el usuario que inició sesión es el usuario real que creó la cuenta utilizando la huella digital del navegador?

Básicamente, haga un montón de controles al hacer clic en iniciar sesión y si no coincide como el 80% de todos los datos, solicite algunas cosas 2FA.

Supongo que esto es similar a lo que hace Google, que recopilan estos datos de usted legalmente y los actualizan cada vez que inicie sesión.

¿Se pregunta si es lo suficientemente seguro o hay una mejor manera de identificar a los usuarios cuando inician sesión? Debido a que hacerlo a través de una dirección IP no es lo suficientemente seguro, lo mismo ocurre con el agente de usuario, me remitieron a las huellas dactilares del navegador, pero sé poco sobre su seguridad y quiero saber de los expertos.

    
pregunta Samuel Stubbings 16.07.2018 - 20:08
fuente

1 respuesta

1

Este es un método particularmente fácil de usar para facilitar el inicio de sesión desde un dispositivo "reconocido". Todas las opciones a continuación se aplican juntas. P.ej. el agente de usuario solo no es seguro, pero si se combina con la dirección IP, es más fuerte. Esto usaría normalmente:

  • Datos del agente de usuario (incluida la resolución de pantalla)
  • Zona horaria
  • Verificación de tiempo desde la ubicación de la dirección IP y la hora del sistema
  • Cookies
  • ¿Está habilitado WebRTC?
  • ¿La dirección IP y el servidor DNS coinciden?
  • ¿JavaScript está habilitado?
  • ¿La dirección IP tiene puertos abiertos? (para proxies conocidos o VPNs)
  • ¿Coinciden los datos del agente de usuario del sistema operativo y del navegador?
  • ¿La dirección IP es residencial o es de un centro de datos?

WhatLeaks cubre la mayoría de estos.

Este método se implementa a través de PayPal y funciona bastante bien. Debería poder autenticarse e iniciar sesión en PayPal, cerrar sesión e intentar iniciar sesión de nuevo, no debe causar un correo electrónico para una actividad inusual ahora. Si este es el caso, copie el agente de usuario de su navegador y las cookies. Luego colóquelos en otra computadora. No debe causar un correo electrónico para "actividad inusual". Como dijo sobre la coincidencia del "80%", esto se puede aplicar aquí, si hay demasiados cambios, correo electrónico o SMS de actividad inusual.

¿Este método es seguro? Posiblemente, proporciona mejor protección que sin y detiene a la mayoría de los atacantes. Sin embargo, algunos se vuelven indiferentes, lo tratan como una bala de plata, y luego usan contraseñas más débiles, o la opción de exclusión de 2FA.

    
respondido por el safesploit 16.07.2018 - 20:38
fuente

Lea otras preguntas en las etiquetas