Googleが2段階認証で「信頼できるデバイス」を認識する方法

Question

あなたのデバイスをGoogle 2-step Verificationに登録したと仮定すると、ウェブサイトに戻ったときにそのデバイスにいることを確認するためにどのような情報が使用されますか？

あなたのコンピュータに何かが保存されていますか（クッキーのような）、または他のアルゴリズムを使用してどこからログインしているかを判断しますか？

Answer 1

この質問はすぐにフォローアップされます。多くの人々がこの質問を続けていますが、驚くべきことに、良い回答は掲載されていません。

元の投稿以来、私はユニークなデバイスを決定するためにどのような技術が使われているかを調べるために多くの研究を行い、ついにpanopticlick projectを見つけました。

このウェブサイトは、ウェブサイトで使用できる正確な指標がfingerprint your browserであるため、多くの疑問に答えました。この方法を使用すると、サイトはサービスに接続するために使用する正確なデバイスを実際に絞り込むことができるため、2段階認証の検証をより簡単に行うことができます。

これは、あなたのサイトで2ステップを実装しようとする人に役立つといいと思います。

Answer 2

サーバーとの会話に関するさまざまな情報を保存します。 SSL Cookie、IPアドレスなどのセッションデータ、お使いのブラウザに関するその他の情報この情報を変更すると、当初の既知の値からの偏差が変化するため、リスクアセスメント値が増加します。この値が国のオンラインリスクプロファイルに基づいて特定のしきい値に達すると、セッションを無効にする一連のイベントが発生します。

セッションが無効になったら、もう一度ログインする必要があります。 クッキーより複雑ですが、クッキーも含まれています。

エンドポイントとCookieの検証を超えて保護を追加することが重要かどうか、またエンドユーザーにとって迷惑になるかどうかについてセキュリティコミュニティには多くの議論があります。