security - 检测用户是否从非常规设备登录的最可靠方法是什么？

Question

我怀疑我们都熟悉Facebook和Google等如何检测您使用的设备是否与平时不同，我想知道最可靠的方法是什么？

我说的是旧的“看起来您正在从其他设备登录”，然后当您确认等信息时，通常会向您发送电子邮件并询问您是否要信任此设备。

显然，可以设置一个cookie，每次访问都会检查并记录一次cookie，但是当用户退出时该怎么办？我们保留cookie吗？

除了设置cookie之外，还有其他可靠的方法来“信任”“设备”吗？还是这是最好/最可靠的方法？

Answer 1

检测设备更改的最可靠方法是为正在运行浏览器的浏览器/设备创建fingerprint。要使100％正确，这是一个复杂的话题，有些商业产品相当不错，但并非完美无缺。几年前，我曾在其中一家公司工作。

现在至少有一个开源指纹识别项目Client JS。我没有使用它，但是它似乎涵盖了所有基础。

仅设置cookie并不是很可靠，因为除非用户使用尝试重新设置cookie(收费服务)的网络，否则平均而言，用户大约每30-45天清除一次cookie。即使那些也不是完美无瑕的。

仅使用IP地址是没有用的。某些设备合法地在短时间内拥有许多IP(在家中，工作场所和星巴克的笔记本电脑或大多数移动设备)，而有时单个IP由大量用户(星巴克或公司后面的所有人)共享代理服务器)。

更新

关于您类似的哈希码的想法。

正确是一个复杂的话题。我有一个小团队几年。我们的确不错，但是即使人们没有故意欺骗您，您也永远不可能做到100％准确。

如果CPU发生变化，则可能是另一台设备。

同一物理设备可以具有许多用户代理。设备上的每个浏览器都有一个不同的用户代理，浏览器的隐私模式具有不同的用户代理，且熵要少得多。

对于给定的物理设备，

字体不会很快改变，尽管它不是移动设备上熵的重要来源(安装的字体很少，对于给定类型的设备，字体通常都相同)。

操作系统通常是稳定的，直到突然改变为止。如果您的设备更新到Windows 10时，每个设备看起来都是新设备，这是否对您有影响？

颜色深度将非常稳定。如果用户安装新的图形卡，则可能会更改。这对您来说重要吗？

如果您可以接受某些设备实际上是新设备，反之亦然的想法，则这种相似性哈希可能对您有用。请注意，您绝不能使用这种指纹来唯一地标识设备，以用于需要肯定标识(例如访问安全数据)的目的。这对于做出概率决定(例如转换适当的广告)非常有用。