Wie erinnern sich Banken an "Ihren Computer"?

Question

Wie viele von Ihnen wahrscheinlich wissen, haben Online-Banken heutzutage ein Sicherheitssystem, bei dem Sie einige persönliche Fragen gestellt bekommen, bevor Sie überhaupt Ihr Passwort eingeben. Sobald Sie sie beantwortet haben, können Sie sich für die Bank "an diesen Computer erinnern" entscheiden, so dass Sie sich in Zukunft nur noch mit Ihrem Passwort anmelden können.

Wie funktioniert der Teil "Remember this computer"? Ich weiß, dass es sich nicht um Cookies handeln kann, da die Funktion immer noch funktioniert, obwohl ich alle meine Cookies gelöscht habe. Ich dachte, es könnte nach IP-Adresse sein, aber mein Freund mit einer dynamischen IP behauptet, dass es auch für ihn funktioniert (aber vielleicht liegt er falsch). Er dachte es wäre MAC-Adresse oder so, aber ich bezweifle das stark! Also, gibt es ein Konzept von https-only Cookies, die ich nicht verstehe?

Endlich der Programmier-Teil der Frage: Wie kann ich etwas Ähnliches selbst in, sagen wir, PHP machen?

Answer 1

Tatsächlich verwenden sie höchstwahrscheinlich Cookies. Eine Alternative wäre die Verwendung von "flash cookies" (offiziell "Local Shared Objects" genannt). Sie ähneln Cookies insofern, als sie an eine Website gebunden sind und eine obere Größenbeschränkung haben, aber sie werden vom Flash-Player verwaltet, sodass sie für alle Browser-Tools unsichtbar sind.

Um sie zu löschen (und diese Theorie zu testen), können Sie the instructions provided by Adobe verwenden. Eine weitere nützliche Funktion ist, dass der LSO-Speicher von allen Browsern gemeinsam genutzt wird. Mit LSO können Sie Benutzer identifizieren, selbst wenn sie den Browser gewechselt haben (solange sie als gleich angemeldet sind) Benutzer).

Answer 2

Es könnte eine Kombination aus Cookies und IP-Adresse Protokollierung sein.

Edit: Ich habe gerade meine Bank überprüft und die Cookies gelöscht. Jetzt muss ich alle meine Informationen erneut eingeben.

Answer 3

MAC-Adresse ist möglich.

IP-zu-Ort-Zuordnung ist auch eine Möglichkeit.

Benutzeragenten und andere HTTP-Header sind auch für die einzelnen Maschinen eindeutig.

Ich denke über diese Websites, die verhindert, dass Sie eine Beschleunigung Download-Manager verwenden. Es muss einen Weg geben.

Answer 4

Verwenden Sie einen Laptop? Erinnert es sich an Sie, nachdem Sie Ihre Cookies gelöscht haben, wenn Sie von einem anderen WLAN-Netzwerk aus zugreifen? Wenn dies der Fall ist, ist die Zuordnung von IP/physischem Standort höchst unwahrscheinlich.

Answer 5

Ich denke, es hängt von der Bank ab. Meine Bank benutzt einen Cookie, da ich ihn verliere, wenn ich Cookies lösche.

Answer 6

Es ist möglich, dass Flash-Dateien eine kleine Menge von Daten auf Ihrem Computer speichern. Es ist auch möglich, dass die Bank diesen Ansatz verwendet, um sich an Ihren Computer zu "erinnern", aber es ist riskant, sich darauf zu verlassen, dass Benutzer Flash haben (und nicht deaktiviert haben).

Answer 7

Die Website meiner Bank lässt mich jedes Mal neu authentifizieren, wenn eine neue Firefox-Version nicht mehr verfügbar ist, daher gibt es definitiv eine User-Agent-String-Komponente in einigen.

Answer 8

Basierend auf all diesen Posts sind die Schlussfolgerungen, die ich erreiche, (1) es hängt von der Bank ab und (2) gibt es wahrscheinlich mehr als ein Stück Daten, die beteiligt sind, aber siehe (1).

Answer 9

Die Bank, an der ich interessiert war, ist die Bank of America.

Ich habe bestätigt, dass wenn ich nur meine Cookies oder meine LSOs lösche, verlangt die Seite nicht, dass ich Informationen erneut eingeben muss. Wenn ich jedoch beide lösche, musste ich zusätzliche Authentifizierung durchlaufen. So scheint das die Antwort in meinem speziellen Fall zu sein!

Aber danke Ihnen allen für den Heads-up bezüglich anderer Banken, und Möglichkeiten wie das Einschließen der User-Agent-Zeichenfolge.

Answer 10

Diese Art der Sitzungsverfolgung wird sehr wahrscheinlich mit einer Kombination aus einem Cookie mit einer eindeutigen ID zur Identifizierung Ihrer aktuellen Sitzung und der Kopplung dieser ID mit der letzten IP-Adresse, die Sie für die Verbindung mit ihrem Server verwendet haben, durchgeführt. Wenn sich die IP ändert, Sie aber immer noch den Cookie haben, sind Sie identifiziert und eingeloggt. Wenn der Cookie nicht vorhanden ist, Sie aber die gleiche IP-Adresse wie auf dem Server haben, setzen Sie Ihren Cookie auf die ID gepaart mit dieser IP.

Wirklich, es ist diese zweite Möglichkeit, die schwierig ist, richtig zu werden. Wenn der Cookie fehlt und Sie nur Ihre IP-Adresse zur Identifikation anzeigen lassen, ist es ziemlich unsicher, jemanden nur auf dieser Basis anzumelden. So speichern Server wahrscheinlich zusätzliche Informationen über Sie, LSO scheinen eine gute Wahl, geo IP auch, aber User Agent, nicht so sehr, weil sie nicht wirklich etwas über Sie sagen, jeder Körper, der die gleiche Version des gleichen Browsers wie Sie verwendet hat das gleiche.

Nebenbei wurde oben erwähnt, dass es mit MAC-Adressen funktionieren könnte. stimme ich überhaupt nicht zu! Ihre MAC-Adresse erreicht niemals den Server Ihrer Bank, da sie nur dazu verwendet wird, die Seiten einer Ethernet-Verbindung zu identifizieren. Um eine Verbindung zu Ihrer Bank herzustellen, führen Sie eine Reihe von Ethernetverbindungen aus: von Ihrem Computer zu Ihrem Heimrouter oder Ihrem ISP Von dort zum ersten Internet-Router, dann zum zweiten, usw. ... und jedes Mal, wenn eine neue Verbindung hergestellt wird, stellt jeder Rechner auf jeder Seite seine eigenen MAC-Adressen zur Verfügung. Ihre MAC-Adresse kann also nur den Computern bekannt sein, die direkt über einen Switch oder Hub mit Ihnen verbunden sind, da alles, was Ihre Pakete weiterleitet, Ihren MAC durch ihren eigenen ersetzt. Nur die IP-Adresse bleibt immer gleich. Wenn MAC-Adressen den ganzen Weg gehen würden, wäre dies ein Albtraum für die Privatsphäre, da alle MAC-Adressen für ein einzelnes Gerät, also für eine einzelne Person, einzigartig sind.

Dies ist eine leicht vereinfachte Erklärung, weil es nicht der Punkt der Frage ist, aber es schien nützlich zu klären, was wie ein Missverständnis aussah.