不安ログイン:IPアドレスは、ユーザー認証のための信頼できるとは限りません
これまでに世界中のウェブ上で別の場所または別のコンピュータからWebアプリケーションにログインしようと自分の身元を認証するために挑戦されているか。 あなたのアイデンティティを決定するためにあなたのIPアドレスに依存していたホスト可能性が高い以上。 私は私の場所の結果として、私の資格への挑戦に遭遇するたびに(IPアドレス)それは私がこれ以上安全な気分にさせるしていない迷惑です。
マシン/接続からデータを使用するというアイデアは、音ですが、IPアドレスが自分の身元を認証するための情報源として信頼できるものではありません。 ログイン時のリスクは極めてログインページを保護するためのセキュリティ機能として、この方法で高信頼され、銀行のようなより多くのウェブサイト。 Salesforce.comのようないくつかのSaaSアプリケーションでも、あなたの身元を確認する方法としてこの方法を使用します。 Salesforce.comは説明し 、このセキュリティ機能を次のように:
"我々の目標は、使用の確立されたパターンが知られている、信頼できるIPアドレスからログインするユーザが影響を受けないように、比類のない継続できるようにすることで、本人確認機能の影響を最小限にすることです。 ログインするための追加手順を実行することからユーザーを除外するには、アプリケーションの信頼できるIP範囲のリストを定義することができます。"
それは"信頼できるIPアドレスは"本当に信頼できるとき、私はどのような状況が表示されていないIPアドレスを詐称することがいかに簡単かを与えられた。 とスプーフィングの問題に加えて、認証用IPを使用すると頻繁に外出先でもSaaSアプリケーションにログインするラップトップ上でモバイルワーカーのために非常に便利ではありません。 一方、デバイスの指紋は、(右行う)アイデンティティとを認証するために信頼性の高い要因になるだろう一度、あなたがあなたの決定に役立つ完全なリスクプロファイルを得るために多くのデータにそれを相互参照できるデバイスのアイデンティティを確立しているのウェブサイトの訪問者を許可するかどうか、それらに挑戦する、またはそれらに背を向ける。
ログインセキュリティの反対側に安全で便利な両方のログインを維持する方法のジレンマがあります。 使いやすさなどのユーザビリティサイエンスコーポレーションがこの記事で説明したように、非常に重要ですログインのセキュリティはフレンドリー作る 。 彼らは、ユーザーがログイン時にアクティブ化されているセキュリティ対策の複雑さを"感じる"したくない"と指摘し、彼らはただ、いつでもログインし、楽な取引を満喫したい。 ユーザーがログインできない場合は、訪問は終了、または少なくとも、短いカット。"
ユーザーのオファーを認証するための要因として、そのデバイスの識別の大きな利点の2つ)が、その透明度1です。認証は、Webサイトの訪問者に負担をかける、2)認証がリアルタイムで行われることなく1〜2秒で行われます。そのためには、知られている顧客のエントリーを促進またはこれまでのエントリを得ることから詐欺師を停止するかどうかを瞬時に決めることができます。
- トム
