Как мой банковский сайт может однозначно идентифицировать компьютеры?

Question

Мой веб-сайт онлайн-банкинга может однозначно идентифицировать компьютеры (ОС Windows) в моей домашней локальной сети.

Подтверждение личности выполняется для каждого веб-браузера на компьютере. То есть, когда я впервые пытаюсь получить доступ к их веб-сайту с определенного компьютера, они просят меня подтвердить мою личность, отправив мне определенный код, который мне нужно ввести на веб-сайте. Как только я ввел код, в следующий раз они вспомнят мой компьютер / веб-браузер. Это дополнительная мера безопасности в дополнение к предоставлению имени пользователя / пароля.

Как это сделать?

Это не IP-адреса, потому что NAT скрывает их снаружи. Файлы cookie также могут быть исключены. Банковский веб-сайт утверждает, что они используют куки для отслеживания, но я удалил куки (пробовал несколько раз в разных браузерах), и он все еще работал.

Может ли это быть уникальный заголовок HTTP, о котором я не знаю? Или это что-то более сложное на низком уровне, такое как MAC-адрес? Насколько я знаю, с IpV4 MAC-адреса не выходят за пределы локальной сети.

Это также может быть какой-то уникальный алгоритм снятия отпечатков, который использует комбинацию параметров.

Answer 1

Это может быть локальное хранилище. Я думал, что Firefox предупреждает вас, когда веб-сайт хочет использовать локальное хранилище. Если банковский сайт делает это для сохранения сеанса входа в систему, это будет плохой практикой, поэтому я не думаю, что это то, что происходит. Однако вы можете проверить локальное хранилище с помощью следующего расширения Firebug: https://addons.mozilla.org/en-US/firefox/addon/firestorage-plus/

Кроме этого, существуют Flash-куки, которые, возможно, не удаляются вашим браузером. Вам может понадобиться еще один аддон для этого.

Тогда есть способы снять отпечатки пальцев с вашего компьютера. Есть сценарии, которые могут видеть, какие плагины и шрифты вы установили. Это плюс некоторые другие настройки, как правило, являются хорошим способом уникальной идентификации вас вместе с вашим IP-адресом.

Тем не менее я был бы чертовски зол, если бы мой банк использовал это, чтобы позволить мне войти в свой аккаунт. Использование этих методов хорошо для интернет-магазинов, которые хотят следовать за вами. Более того, это проблема безопасности.

---

NB: после прочтения вопроса я вижу, что это всего лишь дополнительная мера для идентификации компьютера, а не для входа пользователя в систему. Это только сделает вещи более безопасными, если вы будете предупреждены, когда кто-то попытается войти с другого компьютера, по электронной почте, с предупреждением после входа в систему на известном компьютере.

Answer 2

Единственная другая опция, которая доступна почти во всех браузерах, кроме файлов cookie, - это веб-хранилище. Поскольку вы говорите, что очистка файлов cookie не помогает, попробуйте очистить локальное хранилище (и еще раз проверьте, действительно ли вы удалили все файлы cookie).