Что такое цифровой отпечаток пальца?

A цифровой отпечаток представляет собой совокупность сетевых, браузерных, устройственных и поведенческих сигналов, которые однозначно идентифицируют пользователя или сеанс в сети без использования файлов cookie. Эта технология работает в пассивном режиме: любой сайт, который вы посещаете, может собирать эти сигналы и сопоставлять их между посещениями или учетными записями. В результате получается постоянный идентификатор, который сохраняется даже при использовании режима приватного просмотра, удалении файлов cookie и подключении к VPN.

Как формируется цифровой отпечаток

Отпечатки пальцев представляют собой совокупность признаков, а не отдельные сигналы. При обычной прорисовке страницы браузеры раскрывают десятки атрибутов: строку «user-agent», установленные шрифты, данные о пикселях на холсте, рендер WebGL, особенности обработки аудио, разрешение экрана, часовой пояс и многое другое. Каждый атрибут сужает круг возможных пользователей; в совокупности они позволяют идентифицировать конкретное устройство.

Исследования подтверждают эффективность данного сочетания. Исследование 2024 года (Оценка рисков, связанных с веб-фингерпринтингом, WWW 2024, arXiv 2403.15607, 2024) провели анализ нескольких корпусов и установили, что доля уникальных образцов колеблется от 33,6 % (Гомес-Бойкс, ~2 млн образцов) до 89,4 % (Laperdrix и др., ~118 тыс. образцов), при этом в более ранней работе Экерсли этот показатель составлял 83,6 % по ~470 тыс. образцов. Такой разброс демонстрирует, насколько сильно методология и состав корпуса влияют на измеряемую уникальность. В том же исследовании 2024 года были проанализированы десятки миллионов реальных сеансов Chrome на сотнях тысяч сайтов, что позволило подтвердить: даже несмотря на внедрение браузерами механизмов рандомизации, комбинированные сигналы Web API по-прежнему обладают достаточной энтропией для идентификации отдельных пользователей (Оценка рисков, связанных с веб-фингерпринтингом, WWW 2024, arXiv 2403.15607, 2024 г.).

IP-адрес также является частью «отпечатка». Системы обнаружения ботов сопоставляют сигналы браузера с ASN IP-адреса, его геолокацией и репутацией. Несоответствие между реалистичным профилем браузера и IP-адресом центра обработки данных само по себе является сигналом для обнаружения.

Случаи использования

Выявление мошенничества. Банки и платформы электронной коммерции используют идентификацию устройств для выявления атак методом «креденшиал-стаффинга», захвата учетных записей и мошенничества при проведении платежей. Появление нового отпечатка устройства, связанного с известной учетной записью, приводит к запуску дополнительных этапов проверки.

Ограничение частоты показа рекламы. Рекламодатели ограничивают количество показов на одного пользователя во всех браузерах и после удаления файлов cookie, привязывая показ рекламы к «отпечатку» устройства, а не к файлам cookie.

Сбор данных из Интернета. Автоматизированные клиенты должны предоставлять согласованный и правдоподобный «отпечаток», чтобы избежать блокировок, связанных с обнаружением ботов. Все сигналы, включая IP-адрес, версию браузера, хэш canvas и отпечаток TLS, должны быть согласованными. Использование частного IP-адреса из сети, обеспечивающей доступ с различных устройств, гарантирует, что сетевой уровень будет соответствовать тому, что демонстрировало бы реальное потребительское устройство, что снижает вероятность того, что сам IP-адрес вызовет срабатывание флага несоответствия.

Проверка личности. Решения по борьбе с мошенничеством и обеспечению соблюдения нормативных требований сочетают в себе анализ отпечатков пальцев и проверку подлинности пользователя, что позволяет привязать сеанс к проверенному лицу в ходе нескольких взаимодействий.

Часто задаваемые вопросы

Идентификация браузера по «отпечатку» представляет собой один из уровней цифрового отпечатка. Полная картина также включает сетевой уровень (IP-адрес, ASN, геолокация), сигналы на уровне устройства (размер экрана, аппаратная параллельность) и поведенческие сигналы (частота набора текста, движения мыши). Идентификация браузера по отпечатку охватывает только те сигналы, которые раскрываются через API рендеринга и JavaScript браузера.

Режим приватного просмотра удаляет файлы cookie, но не изменяет сигналы, связанные с аппаратным обеспечением или API браузера. VPN изменяет IP-адрес, но не затрагивает данные, выводимые через canvas, шрифты и WebGL. Большинство систем идентификации по «отпечаткам» сочетают достаточное количество сигналов, так что ни один из этих показателей в отдельности не является достаточным для того, чтобы избежать обнаружения.

Метод «фингерпринтинга» основан на сигналах, которые браузеры передают по умолчанию в ходе обычной прорисовки страницы: заголовок «user-agent», данные, выводимые на холст (canvas), возможности WebGL, поведение аудио и т. д. Запрос на разрешение не требуется. В некоторых законах о защите персональных данных метод «фингерпринтинга» рассматривается как обработка персональных данных, однако подход к его применению варьируется в зависимости от юрисдикции.

Основными факторами являются размер и состав корпуса. Небольшие однородные выборки демонстрируют более высокие показатели уникальности, чем крупные разнородные корпуса, включающие большое количество идентичных мобильных устройств. Исследование WWW 2024 года подтвердило, что при измерении энтропии отпечатков пальцев методология имеет большее значение, чем используемая технология (Оценка рисков, связанных с веб-фингерпринтингом, arXiv 2403.15607, 2024 г.).