假设您已通过 Google 两步验证注册了您的设备,那么当您返回网站时,它会使用哪些信息来验证您是否在该设备上?
它是否在您的计算机上存储某些内容(例如 cookie),或者是否使用其他算法来确定您从何处登录?
只是对这个问题的快速跟进。很多人继续查看这个问题,但令人惊讶的是,还没有发布好的答案。
自从最初的帖子以来,我做了很多研究来找出使用哪些技术来确定独特的设备,最后我偶然发现了panopticlick项目。
该网站回答了很多问题,因为它显示了网站可以用来识别您的浏览器的确切指标。使用这种方法,站点可以真正缩小您用于连接到服务的确切设备的范围,从而使验证两步验证变得更加容易。
希望这可以帮助尝试在您的网站上实施两步的人。
它存储有关您与服务器对话的各种信息。 SSL cookie、会话数据(例如您的 IP 地址)以及有关您的浏览器的其他信息。当您更改此信息时,风险评估值会随着与原始已知值的偏差发生变化而增加。一旦该值达到某个阈值(根据您所在国家/地区的在线风险状况),就会引发一系列事件,使您的会话失效。
当您的会话失效时,您需要重新登录。 它比cookie更复杂,但也涉及到cookie。
关于在端点和 cookie 验证之外添加保护是否重要以及何时会给最终用户带来麻烦,安全社区存在很多争论。
假设您在同一设备上使用相同的网络浏览器:只有域
accounts.google.com__Host-GAPS required
SMSV required
ACCOUNT_CHOOSER optional (pre-fills account)
因此,在这种情况下,我的问题变成了“我必须保留哪些 cookie,才能让 google 知道这是受信任的设备,同时防止 cookie 让我在浏览器会话中保持登录状态?” (如果只允许所有谷歌cookies,后者就会发生)。
如何查找需要哪些cookie? 谷歌在其添加或删除受信任的计算机文档中有些暗示需要哪些cookie:
您可以将浏览器设置为保存 Cookie,也可以通过添加 [*.]google.com 来添加 Google 帐户 Cookie 的例外。
虽然提供的正则表达式接受所有 google cookie,但文本指定帐户 cookie,并且考虑到有一个accounts.google.com 子域,我决定删除所有 cookie,但来自 account.google.com 的 cookie 除外。这仍然让我保持登录状态,但在手动注销(并删除所有不是来自accounts.google.com的cookie)后,我可以登录而无需使用2FA。
从那时起,简单的试验和错误表明,只有少数 cookie 决定是否需要 2FA。