Google nhận diện "thiết bị đáng tin cậy" bằng xác minh 2 bước

Question

Giả sử bạn đã đăng ký thiết bị của mình với Google 2-step Verification, thông tin nào sử dụng để xác minh rằng bạn đang sử dụng thiết bị đó khi bạn quay lại trang web?

Ứng dụng có lưu trữ thứ gì đó trên máy tính của bạn (như cookie) hay không sử dụng một số thuật toán khác để xác định nơi bạn đang đăng nhập?

Answer 1

Chỉ cần theo dõi nhanh câu hỏi này. Rất nhiều người tiếp tục xem câu hỏi này, nhưng đáng ngạc nhiên, chưa có câu trả lời hay được đăng.

Kể từ khi đăng bài gốc, tôi đã làm rất nhiều nghiên cứu để tìm ra những công nghệ được sử dụng để xác định một thiết bị duy nhất, và cuối cùng tôi đã tình cờ gặp panopticlick project.

Trang web này đã trả lời rất nhiều câu hỏi bởi vì nó cho thấy các số liệu chính xác mà trang web có thể sử dụng để fingerprint your browser. Sử dụng phương pháp này, trang web thực sự có thể thu hẹp thiết bị chính xác mà bạn sử dụng để kết nối với dịch vụ và do đó giúp xác thực 2 bước dễ dàng hơn nhiều.

Hy vọng điều này sẽ giúp ai đó đang cố triển khai 2 bước trên trang web của bạn.

Answer 2

Nó lưu trữ các bit thông tin khác nhau về cuộc hội thoại của bạn với máy chủ. Cookie SSL, dữ liệu phiên như địa chỉ IP của bạn và thông tin khác về trình duyệt của bạn. Khi bạn thay đổi thông tin này, giá trị đánh giá rủi ro được tăng lên khi độ lệch so với các thay đổi giá trị ban đầu đã biết. Khi giá trị này đạt đến ngưỡng nhất định, dựa trên hồ sơ rủi ro trực tuyến của quốc gia của bạn, đặt ra một chuỗi các sự kiện làm mất hiệu lực phiên của bạn.

Khi phiên của bạn không hợp lệ, bạn cần phải đăng nhập lại. Nó phức tạp hơn một cookie, nhưng nó cũng liên quan đến cookie.

Có rất nhiều tranh luận trong cộng đồng bảo mật về việc có nên thêm bảo vệ vượt quá điểm cuối và xác minh cookie hay không và khi nào nó trở thành mối phiền toái cho người dùng cuối.