認証用の追加セキュリティファクタとしてのIPアドレス

Question

標準フォーム認証に加えて、セキュリティファクタとしてIPアドレスが追加されました。 IPアドレスの変更はユーザーセッションを削除することを意味します。

個人的に私はこれが解決策であり、真価を提供していないと思います。また、IPアドレスが合法的に変更される可能性がある状況もあります。

「私を覚えてください」というチェックボックスはなく、私たちはコンシューマ、e-commersアプリケーションではないことを言及する必要があります。

ので質問：

1. んIPは、セキュリティの要因だろうか？
2. サーフィン中にIPアドレスを変更する可能性のあるものはありますか（プロキシ、アノニマイザ、スピードブースタ）？

Answer 1

強化された認証でさえも、認証にIPアドレスを使用すべきではありません。

サーフィン中にIPアドレスが変更されるシナリオはたくさんありますが、いくつか触れました。その他には次のものがあります。VPNへの切り替え、ルータの再起動、ISPによる接続のリセット。

Answer 2

初めてこの問題に遭遇したのは、AOLユーザーのおかげで、長年前のことでした。当時のAOLソフトウェアでは、ブラウザのリクエストはAOLのプロキシファームを経由し、リクエストごとに異なるIPアドレスから来る可能性があります。確かに、同じことが今日、多くの理由で起こり得る。あなたのWebアプリケーションはIPアドレスが一定であることに依存してはいけません。代わりにクッキーを使用します。

Answer 3

正当な方法でIPを変更するだけでなく、洗練されたユーザーが情報を盗もうとしている相手のIPを偽装するための不正な方法があります。

このアプローチは、実際のユーザーに不便となり、悪意のある人にもっと多くのツールを提供します。