生成高度准确的浏览器指纹时使用了许多技术,该指纹收集有关用户的信息,以将他们与数百万在线其他人区分开来。
也称为在线指纹,浏览器指纹是一种跟踪和识别方法,网站用于将个人浏览会话与一个网站访问者相关联。使用Javascript,可以收集有关用户的Web浏览器和设备的大量数据。当您将这些信息拼接在一起时,它们会显示出独特的信息组合,形成每个用户自己的“数字指纹”。浏览器指纹可在浏览会话中追踪,即使用户进入隐身浏览或使用VPN访问地点。
浏览器指纹识别是通过准确识别网站用户来阻止欺诈者试图入侵或向网站所有者发送垃圾邮件的一种方法。浏览器指纹比cookie更难规避,因为用户的指纹在隐身浏览会话或清除浏览器数据之间不会改变。浏览器指纹脚本必须使用各种数据(称为信号)收集技术,这些技术因访问者而异,以便为每个不同的Web访问者生成足够准确(称为熵)的指纹。例如,虽然网站的许多访问者可能拥有相同型号的iPhone,但安装的软件和驱动程序、地理位置、浏览器和操作系统版本,甚至硬件的微小差异都可能不同。
收集那些数据浏览器指纹识别可以从浏览器收集大量信息:用户的设备型号、操作系统、浏览器版本、用户时区、首选语言设置、使用的广告拦截器、屏幕分辨率,以及他的CPU、图形的所有详细技术规格卡等等。
浏览器指纹识别技术可以捕获有关用户设备和设置的足够多的细节,以便在互联网用户的海洋中精确定位它们。
指纹识别工作原理假设您是一个大城市的侦探,试图找到一辆被安全摄像头捕获的疑似银行劫匪逃跑车辆的特定汽车。要找到这辆车,您的计划是去一个繁忙的十字路口并记下过往车辆的所有细节,直到找到与安全摄像头上的车辆相匹配的车辆。理想情况下,您希望能够唯一识别汽车,这样城市中只有一辆车符合您的描述,否则您将不得不询问多个司机。
如果安全摄像头捕捉到有关汽车的一些基本细节(或信号),您将能够大大缩小搜索范围:红色、制造商(福特)、汽车类型(卡车)、型号名称(F-150)、轮胎品牌(库存固特异)、年龄/年(2015-2021)。
有了这些信号,您就可以立即唯一地识别车辆,尤其是在任何细节特别罕见的情况下。然而,在一个拥有数百万司机的城市中,可能有数百辆配备标准轮胎的红色福特F-150卡车。信号组合越标准,就越难得到唯一的匹配。
在这些情况下,您希望您的相机可能会很幸运,并匹配到关于车辆的更独特的信号:木镶板、定制贴花或徽标、身体损伤/生锈模式、室内装饰。
这些信号之一可能会迅速缩小您的搜索范围。一辆带有当地公司标志的红色福特F-150卡车很可能是独一无二的,即使在大城市也是如此。
当然,汽车中最独特的可识别元素——车牌。车牌用于唯一识别汽车的明确目的,但如果车主移除他们的车牌或用假货交换它们,它们就没有用。当这种识别方法失败时,有一个备份是很重要的。
通过组合一组广泛而全面的标识符,您可以缩小嫌疑人名单,从而更容易挑出坏人。
指纹识别的工作方式与上面的示例几乎完全相同。现在,您正试图通过捕获通过访问者的浏览器或设备(汽车)传递的信号来识别Web或移动应用程序的访问者,或通过指纹识别功能(安全摄像头)捕获的信号。
浏览器可以捕捉到很多信号,包括:用户代理详细信息(安装的浏览器及其版本、操作系统)、硬件详细信息(屏幕分辨率、电池使用情况、设备内存)、使用的浏览器插件、浏览器和操作系统设置、WebGL参数。
当访问者登陆网页时,指纹识别功能会收集信号并将其编译成可以存储的哈希值。每当此访问者返回网站时,他们的指纹都可以与过去的访问历史记录进行比较,以识别可疑行为或过去的欺诈活动。
指纹识别的技术Canvas识别技术这种浏览器指纹识别技术使用HTML5画布元素来识别用户GPU、图形驱动程序或图形卡中的差异。首先,脚本绘制图像,通常覆盖有文本。然后,该脚本捕获用户的Web浏览器如何呈现图像和文本。自然,具有不同硬件和驱动程序的每个设备都会对图像进行略微不同的渲染,从而扭曲其颜色和形状。然后使用渲染图像的数据计算哈希,该数据用作“画布指纹”。
与任何其他浏览器指纹识别技术一样,用于画布指纹识别的脚本在后台运行,以防止用户意识到正在发生指纹识别。这种指纹识别技术准确且处理量不大,使其成为最常用的脚本技术之一。
由于此访问者的特定浏览器和设备呈现这些图像的方式,它们可以缩小到少于总访问者0.01%范围。
WebGL指纹识别WebGL指纹识别与Canvas指纹识别非常相似,因为它们都使用浏览器在屏幕外渲染图像。这些图像根据用户的图形驱动程序和设备硬件来区分用户。
媒体设备指纹这种技术可以揭示用户笔记本电脑或PC上所有连接的媒体设备及其各自ID的列表。这包括所有内部媒体组件,如视频卡、声卡,以及所有连接或链接的设备,如耳机。
媒体设备指纹识别在指纹识别功能中没有广泛使用。这是因为它要求用户授予对其麦克风和摄像头的访问权限,以获取已连接设备的完整列表。这种技术对于天生需要网络摄像头或麦克风访问的服务很有帮助,例如视频聊天服务。
音频指纹虽然其他指纹技术强制浏览器呈现文本或图像,但这种技术检查他们的设备如何播放声音。使用的浏览器供应商和版本会影响数字振荡器产生的声波的微小差异以及CPU架构的差异。
组合指纹识别需要相互使用多种指纹识别技术来生成足够准确的指纹用于用户识别。每种方法都会生成一个或多个信号,这些信号共同组合成一个访问者散列,作为一个单独的标识符。
指纹识别和在线欺诈检测处理欺诈时,请注意只有少数网站访问者对欺诈活动负责。因此,您的开发团队必须找到一种方法来隔离这些网站用户,识别他们,通过身份验证验证他们,并将他们添加到您网站的阻止列表中。但是,您需要使这些安全层远离您的受信任流量,因为额外的身份验证步骤可能会导致不愉快的用户体验。此外,更严格的网站安全性也会减慢帐户可访问性、购买和整体网站参与度。
浏览器指纹识别技术有助于识别具有欺诈行为模式的访问者,然后仅针对这些访问者以提高安全性。此外,欺诈者经常使用身份隐藏技术,例如禁用cookie、通过VPN浏览或在隐身模式下使用浏览器。这些都是指纹识别被证明处于最佳状态的所有领域,因为它可以快速识别用户而不依赖IP地址和站点cookie。
最常见的欺诈类型之一是帐户接管,恶意用户试图破解合法用户的帐户并进行购买或窃取他们的身份。通过指纹识别和相关的用户识别技术,可以为登录过程增加额外的安全性,仅用于可疑流量。这种增加的安全性使不受信任的流量更难以登录和接管受信任用户的帐户。
如果您的网站遇到暴力破解或机器人攻击,最佳做法是在每次登录尝试失败后要求用户解决验证码问题。然后,在三到五次登录尝试失败后,将您的系统设置为将用户锁定一段时间。
如果您的用户经常成为网络钓鱼诈骗的目标,您可以在新指纹尝试登录时要求电子邮件或双重身份验证。如果此类指纹反复访问您的网站,您还可以将其列入黑名单。
对于几乎所有类型的欺诈,阻止您网站上的恶意活动的第一步是准确的用户识别技术。然后,您可以准确地挑选出坏苹果,同时让您信任的用户对您的网站性能感到满意。