Onmogelijke reis-detectie identificeert sessies waarbij de locatie van een gebruiker sneller verandert dan fysiek haalbaar is. Als een account om 09:00 inlogt vanuit Londen en vervolgens om 09:15 vanuit Singapore, wordt de sessie gemarkeerd: geen directe vlucht legt die afstand af in 15 minuten. Het signaal is eenvoudig. Wat bepaalt of het nuttig is, is hoe het systeem VPN's, gedeelde infrastructuur, echte reizigers en AI-agents die gestolen tokens hergebruiken, afhandelt.
Wat telt als onmogelijke reis
De kernberekening is afstand gedeeld door tijd. Als de vereiste snelheid een redelijke drempel overschrijdt, doorgaans rond de 800 km/u als genereuze bovengrens voor commerciële vluchten, wordt de beweging gemarkeerd als fysiek onplausibel.
| Scenario | Afstand | Tijdsinterval | Snelheid | Uitspraak |
|---|---|---|---|---|
| Londen naar Parijs | 340 km | 25 min | 816 km/u | Markeer |
| Londen naar Manchester | 260 km | 40 min | 390 km/u | Geen markering |
| New York naar Londen | 5.540 km | 2 uur | 2.770 km/u | Markeer |
| Zelfde stad, VPN-wijziging | 0 km | direct | 0 km/u | Context nodig |
Tijd is wat dit onderscheidt van eenvoudige geolocatie. Een account dat actief is op de ene locatie en daarna een uur later op een andere, kan een VPN-switch zijn, een mobiele overdracht of een echte reiziger op een korte vlucht. Snelheid lost de meeste ambiguïteit op, maar niet alle.
Waar detectie op basis van alleen IP faalt
Standaard logica voor onmogelijke reizen vergelijkt twee IP-geolocaties. Dat werkt wanneer de IP's echte geografische oorsprong vertegenwoordigen. Het faalt in deze situaties:
- VPN-switches wijzigen de schijnbare locatie zonder enige fysieke verplaatsing.
- Residentiële proxies laten het verkeer van de aanvaller eruitzien alsof het afkomstig is van een thuisverbinding in de buurt van het doelwit.
- Gedeelde bedrijfsuitgang plaatst veel gebruikers op één locatie, ongeacht waar ze zich fysiek bevinden.
- Roaming van mobiele netwerken verschuift IP-landtoewijzingen wanneer de provider cellen overdraagt.
Valse positieven zijn in deze gevallen kostbaar. Een echte gebruiker die wordt gemarkeerd terwijl hij reist, van VPN-server wisselt of verbinding maakt via een bedrijfsnetwerk, creëert wrijving zonder een aanvaller te onderscheppen.
Wat de browserlaag toevoegt
Apparaatvingerafdrukken veranderen wat "dezelfde gebruiker" betekent. In plaats van te vragen of het IP overeenkomt met de verwachte locatie, kun je vragen of het apparaat overeenkomt met de geschiedenis van het account, en of de browseromgeving eruitziet als een echte gebruiker of een automatiseringsframework.
cside legt apparaatintelligentie vast vanuit de browsers van echte bezoekers: 102+ signalen waaronder hardware-vingerafdruk, renderomgeving, automatiseringsindicatoren en VPN/proxy-houding. Twee logins vanuit verschillende steden kunnen een echte reiziger zijn. Dezelfde twee logins vanuit verschillende steden met een andere apparaatvingerafdruk en een residentieel proxy-ASN is een ander probleem.
Deze combinatie detecteert wat IP-snelheid alleen mist:
- VPN-gemaskeerde reis: het IP blijft in één stad, maar het apparaatprofiel verandert midden in de sessie. Die verschuiving is geen fysieke verplaatsing, maar het is wel een vertrouwensbreuk.
- Hergebruik van tokens door AI-agents: een AI-agent die een gestolen sessietoken oppakt, kan dit afspelen vanuit een compleet andere geografische en netwerkomgeving. De locatiesprong is onmiddellijk en het apparaatprofiel zal niet overeenkomen met de geschiedenis van het account.
- Echte sessiediefstal: een sessiecookie vastgelegd via een browserlaagaanval en afgespeeld door de aanvaller vanuit een ander land verschijnt als onmogelijke reis plus een plotselinge mismatch van apparaatvingerafdruk.
Onmogelijke reis als één signaal in een sessiemodel
Onmogelijke reis is een nuttig signaal, geen uitspraak. Een account dat het activeert, zou een extra authenticatieuitdaging, een gedwongen herauthenticatie of een blokkering op risicovolle acties (betaling, adreswijziging, bijwerking van betaalmethode) moeten zien, niet een onmiddellijke blokkering. Een echte reiziger die zijn identiteit bevestigt, gaat door zonder wrijving. Een credential-stuffing-sessie die de uitdaging niet haalt, wordt gestopt.
Het juiste model combineert het signaal met apparaatvingerafdrukdrift, netwerkreputation (VPN- en proxyscore, ASN-type), gedragscontinuïteit en de snelheid van acties na de login. cside levert al deze sessierisicoserveringssignalen via API, zodat je fraudelogica de volledige context kan beoordelen in plaats van alleen op locatie te reageren.
Voor hoe onmogelijke reis past in een breder model van preventie van accountovername, inclusief sessie-scoring en post-authenticatiecontroles, raadpleeg het volledige draaiboek.





