銀行は「あなたのコンピュータ」をどのように覚えていますか？

Question

多くの人が知っているように、オンライン銀行には現在、パスワードを入力する前に個人的な質問をするセキュリティシステムがあります。あなたがそれらに答えたら、銀行が "このコンピュータを覚えている"ようにして、将来パスワードを入力するだけでログインできるようにすることができます。

「このコンピュータを覚えている」部分はどのように機能しますか？私はそれがクッキーではないことを知っています。なぜなら、クッキーをすべてクリアしたにもかかわらず機能はまだ機能しているからです。私はそれがIPアドレスであるかもしれないと思ったが、動的なIPを持つ私の友人は彼のためにもそれがうまくいくと主張している（しかし彼は間違っている）。彼はそれがMACアドレスか何かだと思っていましたが、私はそれを強く疑っています！だから、私がクリアしていないhttpsだけのクッキーの概念はありますか？

最後に、質問のプログラミング部分：どうやって、私はPHPのように何か似たようなことをすることができますか？

Answer 1

実際、ほとんどの場合、Cookieが使用されています。それらの代わりに "flash cookies"（正式には "Local Shared Objects"と呼ぶ）を使用することもできます。彼らはクッキーに似ていますが、ウェブサイトに結びついていて上限の制限がありますが、フラッシュプレーヤーによって維持されているので、どのブラウザツールでも見えません。

これをクリアするには（この理論をテストする）、the instructions provided by Adobeを使用します。 LSOストレージはすべてのブラウザで共有されるため、LSOを使用するとブラウザにログインしていても、ユーザーを識別することができます（同じユーザーとしてログインしている限り）。ユーザー）。

Answer 2

これは、CookieとIPアドレスのログを組み合わせたものです。

編集：銀行を確認してクッキーをクリアしました。今私はすべての情報を再入力する必要があります。

Answer 3

MACアドレスが可能です。

IPから物理的な場所へのマッピングも可能です。

ユーザーエージェントとその他のHTTPヘッダーは、それぞれのマシンに固有のものではありません。

私は、アクセラレータをダウンロードするマネージャーを使用できないようなウェブサイトについて考えています。方法が必要です。

Answer 4

ノートパソコンを使用していますか？別のWiFiネットワークからアクセスすると、あなたのクッキーを削除した後であなたを覚えていますか？その場合は、IP /物理的な場所のマッピングはほとんどありません。

Answer 5

銀行に依存していると思います。私の銀行は、クッキーを拭くときにそれを失うので、クッキーを使用します。

Answer 6

フラッシュファイルでは、コンピュータに少量のデータを保存することは可能です。銀行がその方法を使用してコンピュータを覚えている可能性もありますが、フラッシュを使用している（そして使用不可にしていない）フラッシュに頼るのは危険です。

Answer 7

私の銀行のサイトでは、新しいバージョンのFirefoxがリリースされるたびに再認証されるため、いくつかのユーザーエージェント文字列コンポーネントが間違いなくあります。

Answer 8

これらすべての投稿に基づいて、私が到達している結論は（1）銀行に依存している、（2）複数のデータが含まれている可能性がありますが、（1）

Answer 9

興味のある銀行はバンクオブアメリカです。

私はクッキーやLSOをクリアするだけで、情報を再入力する必要はないことを確認しました。しかし、私が両方をクリアすれば、私は追加認証を受ける必要がありました。したがって、それは私の特定の場合の答えと思われる！

他の銀行に関するヘッズアップ、User-Agent文字列の挿入などの可能性についても、皆様に感謝いたします。

Answer 10

この種のセッショントラッキングは、現在のセッションを識別する一意のIDを持つクッキーと、そのIDとサーバーに接続するために使用した最後のIPアドレスとのIDを組み合わせたものを使用して実行されます。そうすることで、IPが変更されたにもかかわらずCookieがまだ残っている場合は、識別されてログインしていて、Cookieがなくてもサーバー上のIPアドレスと同じIPアドレスを持っている場合は、そのIPはそのIPとペアになっています。

本当に、それは正しいことをするのは難しい2番目の可能性です。クッキーが見つからず、識別のためにあなたのIPアドレスしか表示されていない場合、それに基づいて誰かを記録することはかなり危険です。だから、おそらくサーバはあなたに関する追加情報を保存するでしょう、LSOは良い選択肢、地理IPですが、ユーザエージェントはそうではありません。本当にあなたについて何も言わないので、あなたと同じブラウザの同じバージョンを使っています。同じです。

上記のように、MACアドレスで動作する可能性があります。 私は強く反対します！あなたのMACアドレスは、イーサネット接続の側面を識別するためだけに使用されるため、銀行のサーバーに届くことはありません。また、コンピュータから家庭のルータやISPにイーサネット接続をして銀行に接続します。そこから最初のインターネットルーターまで、そして次に2番目に、新しい接続が行われるたびに、各側の各マシンが独自のMACアドレスを提供します。そのため、MACアドレスは、スイッチまたはハブ経由で直接接続されているマシンにしか認識されません。 IPアドレスだけが同じままです。 すべてのMACアドレスが1つのデバイスに固有のものであるため、1人のユーザーに固有のものであるため、MACアドレスが徹底していれば、プライバシーの悪夢となります。

これは問題のポイントではないので、少し簡単に説明しますが、誤解のように見えるものを明確にすることは有益でした。