google如何通过两步验证来识别“可信设备”

Question

假设您已向Google 2-step Verification注册了您的设备，当您返回网站时，它会使用哪些信息来验证您是否在该设备上？

它是否在您的计算机上存储了某些内容(如cookie)，或者它是否使用其他算法来确定您从何处登录？

Answer 1

只是对这个问题的一个快速跟进。很多人继续关注这个问题，但令人惊讶的是，并没有发布一个好的答案。

自从最初的帖子以来，我做了很多研究，以找出用什么技术来确定一个独特的设备，我最终偶然发现了panopticlick project。

这个网站回答了很多问题，因为它显示了网站可以用于fingerprint your browser的确切指标。使用这种方法，站点可以真正缩小您用来连接到服务的确切设备的范围，从而使验证两步验证变得更加容易。

希望这能帮助那些试图在你的网站上实现2步的人。

Answer 2

它存储有关您与服务器对话的各种信息。SSL cookies、会话数据(如您的IP地址)和有关浏览器的其他信息。当您更改此信息时，风险评估值会随着与最初已知值的偏差的变化而增加。一旦这个值达到某个阈值，根据您所在国家的在线风险概况，就会引发一系列事件，使您的会话失效。

当您的会话失效时，您需要重新登录。它比cookie更复杂，但它也涉及cookie。

对于在端点和cookie验证之外添加保护是否重要，以及它何时成为最终用户的麻烦，在安全社区中有很多争论。