Skip to main content
Blog
Blog

Wat is onmogelijke reis-detectie en hoe werkt het?

Onmogelijke reis-detectie markeert sessies waarbij de locatie sneller verandert dan fysiek mogelijk is. Leer hoe het werkt en wat de browserlaag toevoegt.

Jul 04, 2026 4 min read
Wat is onmogelijke reis-detectie en hoe werkt het?

Onmogelijke reis-detectie identificeert sessies waarbij de locatie van een gebruiker sneller verandert dan fysiek haalbaar is. Als een account om 09:00 inlogt vanuit Londen en vervolgens om 09:15 vanuit Singapore, wordt de sessie gemarkeerd: geen directe vlucht legt die afstand af in 15 minuten. Het signaal is eenvoudig. Wat bepaalt of het nuttig is, is hoe het systeem VPN's, gedeelde infrastructuur, echte reizigers en AI-agents die gestolen tokens hergebruiken, afhandelt.

Wat telt als onmogelijke reis

De kernberekening is afstand gedeeld door tijd. Als de vereiste snelheid een redelijke drempel overschrijdt, doorgaans rond de 800 km/u als genereuze bovengrens voor commerciële vluchten, wordt de beweging gemarkeerd als fysiek onplausibel.

ScenarioAfstandTijdsintervalSnelheidUitspraak
Londen naar Parijs340 km25 min816 km/uMarkeer
Londen naar Manchester260 km40 min390 km/uGeen markering
New York naar Londen5.540 km2 uur2.770 km/uMarkeer
Zelfde stad, VPN-wijziging0 kmdirect0 km/uContext nodig

Tijd is wat dit onderscheidt van eenvoudige geolocatie. Een account dat actief is op de ene locatie en daarna een uur later op een andere, kan een VPN-switch zijn, een mobiele overdracht of een echte reiziger op een korte vlucht. Snelheid lost de meeste ambiguïteit op, maar niet alle.

Waar detectie op basis van alleen IP faalt

Standaard logica voor onmogelijke reizen vergelijkt twee IP-geolocaties. Dat werkt wanneer de IP's echte geografische oorsprong vertegenwoordigen. Het faalt in deze situaties:

  • VPN-switches wijzigen de schijnbare locatie zonder enige fysieke verplaatsing.
  • Residentiële proxies laten het verkeer van de aanvaller eruitzien alsof het afkomstig is van een thuisverbinding in de buurt van het doelwit.
  • Gedeelde bedrijfsuitgang plaatst veel gebruikers op één locatie, ongeacht waar ze zich fysiek bevinden.
  • Roaming van mobiele netwerken verschuift IP-landtoewijzingen wanneer de provider cellen overdraagt.

Valse positieven zijn in deze gevallen kostbaar. Een echte gebruiker die wordt gemarkeerd terwijl hij reist, van VPN-server wisselt of verbinding maakt via een bedrijfsnetwerk, creëert wrijving zonder een aanvaller te onderscheppen.

Wat de browserlaag toevoegt

Apparaatvingerafdrukken veranderen wat "dezelfde gebruiker" betekent. In plaats van te vragen of het IP overeenkomt met de verwachte locatie, kun je vragen of het apparaat overeenkomt met de geschiedenis van het account, en of de browseromgeving eruitziet als een echte gebruiker of een automatiseringsframework.

cside legt apparaatintelligentie vast vanuit de browsers van echte bezoekers: 102+ signalen waaronder hardware-vingerafdruk, renderomgeving, automatiseringsindicatoren en VPN/proxy-houding. Twee logins vanuit verschillende steden kunnen een echte reiziger zijn. Dezelfde twee logins vanuit verschillende steden met een andere apparaatvingerafdruk en een residentieel proxy-ASN is een ander probleem.

Deze combinatie detecteert wat IP-snelheid alleen mist:

  • VPN-gemaskeerde reis: het IP blijft in één stad, maar het apparaatprofiel verandert midden in de sessie. Die verschuiving is geen fysieke verplaatsing, maar het is wel een vertrouwensbreuk.
  • Hergebruik van tokens door AI-agents: een AI-agent die een gestolen sessietoken oppakt, kan dit afspelen vanuit een compleet andere geografische en netwerkomgeving. De locatiesprong is onmiddellijk en het apparaatprofiel zal niet overeenkomen met de geschiedenis van het account.
  • Echte sessiediefstal: een sessiecookie vastgelegd via een browserlaagaanval en afgespeeld door de aanvaller vanuit een ander land verschijnt als onmogelijke reis plus een plotselinge mismatch van apparaatvingerafdruk.

Onmogelijke reis als één signaal in een sessiemodel

Onmogelijke reis is een nuttig signaal, geen uitspraak. Een account dat het activeert, zou een extra authenticatieuitdaging, een gedwongen herauthenticatie of een blokkering op risicovolle acties (betaling, adreswijziging, bijwerking van betaalmethode) moeten zien, niet een onmiddellijke blokkering. Een echte reiziger die zijn identiteit bevestigt, gaat door zonder wrijving. Een credential-stuffing-sessie die de uitdaging niet haalt, wordt gestopt.

Het juiste model combineert het signaal met apparaatvingerafdrukdrift, netwerkreputation (VPN- en proxyscore, ASN-type), gedragscontinuïteit en de snelheid van acties na de login. cside levert al deze sessierisicoserveringssignalen via API, zodat je fraudelogica de volledige context kan beoordelen in plaats van alleen op locatie te reageren.

Voor hoe onmogelijke reis past in een breder model van preventie van accountovername, inclusief sessie-scoring en post-authenticatiecontroles, raadpleeg het volledige draaiboek.

Simon Wijckmans
Founder & CEO

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

FAQ

Frequently Asked Questions

Onmogelijke reis treedt op wanneer een geauthenticeerde sessie sneller van de ene geografische locatie naar de andere lijkt te springen dan fysieke verplaatsing toelaat. Het is een signaal bij de detectie van accountovername: een login vanuit Londen gevolgd door een login vanuit Singapore enkele minuten later markeert de tweede sessie voor beoordeling, omdat geen enkele reisroute de twee steden in die tijd verbindt.

De basisberekening deelt de geografische afstand tussen twee opeenvolgende inloglocaties door de tijd daartussen. Als de resulterende snelheid een drempel overschrijdt (doorgaans rond de maximale snelheid van commerciële luchtvaart, circa 800 km/u), wordt de tweede sessie gemarkeerd. Geavanceerdere implementaties vergelijken ook de apparaatvingerafdrukken tussen sessies, omdat een locatiesprong gecombineerd met een apparaatwijziging sterker bewijs is van misbruik dan locatie alleen.

Detectie op basis van alleen IP kan worden omzeild door een VPN. Als een aanvaller een exitknooppunt gebruikt in de buurt van de laatste bekende locatie van het slachtoffer, is de schijnbare reisafstand klein en wordt niets gemarkeerd. Apparaatvingerafdrukken dichten dit gat: zelfs als het VPN-IP van de aanvaller overeenkomt met de verwachte regio, detecteren browserlaagsignalen de mismatch tussen het nieuwe apparaatprofiel en de vingerafdrukgeschiedenis van het account.

Het kan valse positieven genereren zonder context. Langeafstandsreizigers en zakelijke VPN-gebruikers tonen locatiesprongen wanneer hun VPN-servertoewijzing verandert. Goed gecalibreerde systemen negeren bekende goedaardige scenario's: mobiele netwerkovergangen, bedrijfsuitgangspools en reispatronen die overeenkomen met de geschiedenis van het account. Het koppelen van locatiesnelheid aan apparaatcontinuïteit vermindert valse positieven aanzienlijk.

Snelheidsdetectie telt inlogpogingen in de tijd en markeert hoge frequentie. Onmogelijke reis-detectie vergelijkt locatieparen en markeert fysiek onplausibele bewegingen. Ze zijn complementair: snelheid detecteert aanvullingscampagnes voor inloggegevens; onmogelijke reis detecteert hergebruik van sessies en herspeling van gestolen tokens over geografieën.

Monitor en Beveilig Je Third-Party Scripts

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Start gratis, of probeer Business met een proefperiode van 14 dagen.

cside dashboard interface met script monitoring en beveiligingsanalytics
Related Articles
Boek een demo