我注意到一些 Web 服务使用安全方案,其中具有一些不寻常特征的登录尝试会触发额外的身份验证步骤。
例如,当我在国外尝试登录我的 Gmail 帐户时,有时它会让我解决验证码,或者询问我通常从哪个位置登录。
另一个有趣的例子是,当我尝试从国外登录我的 Facebook 帐户时,它会向我显示我朋友的照片,并在我被授予访问我的帐户之前要求我识别他们。
我认为采取这些措施是为了保护我的帐户免遭密码盗窃。
Web 服务使用什么标准来查找可疑活动?
显然从上面的示例中得出的一个答案是,从与用户通常登录的国家不同的国家/地区进行登录尝试。我很好奇是否还有其他技术,甚至可能不仅在身份验证期间使用,而且在用户在网站上的其他活动期间使用。
是否有任何关于各种 Web 服务当前使用的技术的信息?
除了您提供的验证方法外,Web 服务还使用以下方法跟踪用户。通常,这些服务中的任何一个出现故障都可能导致站点阻止访问或锁定帐户。
这些是您访问网站或服务时网站将发送到您的浏览器的文本文件。这些文件包含站点指定的用于身份验证和识别等用途的信息。有时它们会存储首选项,有时它们可能会存储上次访问时间或上次 IP 地址等内容。通常可以以不可读的方法对这些信息进行加密或编码。当用户访问一个站点时,计算机上的信息(如果存在的话)会与他们存档的信息进行比较。
Cookie 在捕获失败尝试方面也很有用。当一个人 (UserB) 尝试以 UserA 的身份登录站点时,该站点可以为他们提供一个 cookie,该 cookie 是他们尝试使用的用户名,另一个包含他们尝试的登录次数。当他们以 UserB 的身份登录并在以后使用自己的帐户时,该站点可以收集先前尝试的 cookie,然后交叉检查他们的记录以查看 UserA 是否与他们相关或知道该尝试。
当用户访问 Web 服务器时,他们会打开一个称为会话的东西。在会话期间,浏览器和服务器以变量和 cookie 的形式交换信息。只要会话打开,此信息就会存在。会话可以在特定的时间范围内处于活动状态,也可以在有人离开网站或关闭浏览器时被销毁。当一个人尝试使用相同的登录名从第二台设备访问站点时,这将打开一个新会话。一些网站知道这一点,并会说“您正在从两个位置访问您的网站。如果您没有从多个位置访问此网站,请联系客户服务。”
一些 Web 应用程序存储有关用户、他们的消费习惯(银行和信用卡公司这样做)、访问频率和 IP 地理位置的信息。当用户访问一个站点时,他们存储的配置文件将与他们当前的会话进行比较,以查看用户的行为是否符合记录的模式(位置、设备、访问持续时间等)。一个例子可能是某人从他们以前从未登录过的另一个位置登录。
某些网站(如 Google)可能会要求您使用安装在您之前已通过身份验证的移动设备上的身份验证应用程序,或者他们可能会要求您检查您的电子邮件帐户以获取一次性密码。这称为两步或两阶段身份验证或验证。当您尝试从新机器或没有活动会话或现有 cookie 的机器登录网站时,您必须提供来自第二台设备(通常是手机或电子邮件)的信息以证明您是最初设置帐户的人。有时这也以 SMS 文本消息的形式完成。
一些网站会使用像 CAPTCHA 这样的真实用户验证方案来确保用户是真正的人而不是机器人。银行等网站和一些股票摄影网站实施其他方案,以确保您在打开会话时不会一次执行太多任务。如果您的反应比人类用户更快,他们可能会关闭您的会话。此外,他们可能会由于不活动而关闭您的会话,因为他们尽量不假设访问延迟意味着同一终端上的同一用户。
大多数网站都会为用户提供密码。当用户再次访问该站点时,需要提供此密码。
除了密码之外,一些网站还以质询和响应短语的形式请求信息,用户可以在其中验证自己的身份。“你在哪里上学?” “你在哪里出世?” 这类问题的答案通常在用户的朋友和家人圈子之外是未知的。这些问题不是身份验证的主要问题的原因是因为诸如未经过滤的社交媒体之类的事情,人们可以在其中进行网络搜索并通过阅读个人资料找到答案。