Come posso impedire agli utenti di creare più account su un sito web?

Question

Come posso impedire agli utenti di creare più account su un sito web?

#1 da (31 voti)
#2 da (12 voti)
#3 da (5 voti)
#4 da (3 voti)
#5 da (1 voti)
#6 da (1 voti)

5

Sto costruendo un sito che deve garantire che i punteggi di reputazione degli utenti siano accurati impedendo agli utenti di creare più di un account, a costo di una diminuzione delle iscrizioni degli utenti. Finora, le uniche soluzioni che ho pensato sono permettere agli utenti di:

Collegamento al proprio account PayPal (verificato) tramite autenticazione account PayPal
Fornire la chiave pubblica PGP e verificare che l'MSD (una metrica di attendibilità) sia inferiore a un determinato valore

Naturalmente, anche questi metodi non sono a prova di proiettile, ma è probabile che rendano molto difficile la creazione di un account fantoccio-pupo. Ce ne sono altri che non ho considerato?

web-development security cryptography

posta Alek Storm 19.10.2011 - 14:41

fonte

6 risposte

Leggi altre domande sui tag web-development security cryptography

creativo e complesso vs semplice e leggibile Comprensione della differenza tra classi mutevoli e immutabili

score 31 · Answer 1

31

Non puoi impedirlo, devi fornire incentivi contro di esso.

Il tuo problema è che il tuo sistema ha un incentivo per creare più account. Rimuovi questo incentivo o forniscene uno migliore per mantenere un account.

risposta data 19.10.2011 - 15:19

fonte

score 12 · Answer 2

Sarei molto cauto nel chiedere agli utenti di utilizzare il proprio account PayPal. Ciò implicherebbe che avresti preso i soldi dagli utenti a un certo punto. Ciò metterebbe ancora di più.

La soluzione migliore è probabilmente la più semplice. Fai quello che fa lo Stack Exchange. Permetti all'utente di registrarsi con OpenID (o anche solo e-mail e password) e quindi tracciare gli indirizzi IP da cui l'utente effettua l'accesso e a chi l'utente attribuisce la reputazione e da chi riceve. Ci sono probabilmente altre cose che puoi tracciare come l'ora del giorno in cui solitamente si collegano, ecc.

Quindi disponi di strumenti per i moderatori del tuo sito (avrai bisogno di moderatori) per mostrare agli utenti che condividono gli indirizzi IP e hanno interagito uno con l'altro un po 'troppo (ad esempio). A seconda di ciò che insegui, puoi mostrare dati diversi.

Ovviamente uno svantaggio con l'indirizzo IP è che non è unico. Le persone nello stesso posto di lavoro ne condivideranno uno così come le persone che utilizzano il sito dagli internet café o dalle biblioteche.

Ora su Stack Exchange, dove il post è più importante che i colleghi non dovrebbero votarsi a vicenda più di quanto farebbero per qualsiasi persona a caso sul sito. Tuttavia, se sul tuo sito la persona è più importante, il contrario potrebbe essere vero.

Qualsiasi sistema implementerai le persone tenterà di aggirarlo, quindi questo sarà un processo continuo di modifica delle regole di accesso ecc.

score 5 · Answer 3

Un modo in cui molti siti utilizzano è l'aggiunta di un codice di verifica SMS al loro processo di registrazione. Delega il problema di unicità a qualche azienda di telefonia mobile.

Non è ancora a prova di proiettile, diminuirà molto i numeri di registrazione degli utenti. Ma sono rari coloro che hanno accesso a più numeri di cellulare. Potrebbe costarti un po 'di soldi se stai operando in un'area in cui gli SMS devono essere pagati dal mittente.

Ma accoppialo con alcuni IP e il monitoraggio del comportamento e, come menzionato da altre persone, incentivi a disporre di un solo account e dovresti impostarlo.

score 3 · Answer 4

La reputazione degli utenti (supponendo che tu abbia qualche caratteristica positiva come i siti Stack Exchange) non sarà mai un punteggio veramente accurato. Anche se davvero ti assicuri che nessuna persona fisica possa creare due account con qualsiasi mezzo (dubito che ciò sia possibile), hai ancora questi problemi:

Le persone possono invogliare i propri amici più spesso rispetto ad altre persone (o raggrupparsi per svalutare qualcun altro).
Se l'alta reputazione è davvero preziosa per alcune persone e il sockpuppeting è un modo per ottenerlo, le persone vendono (o noleggiano) account verificati per sockpuppeting.

Quindi, non fare affidamento su tale funzione.

score 1 · Answer 5

Offri agli utenti una gamma di opzioni da verificare? Combinare una buona "politica dell'utente" ("Non condivideremo le tue informazioni con terze parti", ecc.) Con un buon schema "punti" dietro le quinte darebbe punti per cose come:
  - Numero di telefono verificato (invia loro un codice che inseriscono)
  - Facebook   - OpenID
  - Paypal   - ecc.

Assegna ad ogni opzione un valore in punti (Paypal vale più di un account GMail, ad esempio) ... e lascia che scelgano come ottenere punti sufficienti per diventare "verificati". Rendi queste informazioni disponibili al "proprietario" dell'account.

Se l'account cambia mano, il nuovo proprietario ha ora le informazioni personali ... se le informazioni cambiano (nuovo indirizzo email) puoi aumentare / diminuire il "punteggio verificato", effettuare nuovamente i numeri di telefono o qualsiasi altra cosa. L'attività di pesce su un account può aumentare il punteggio "verificato" necessario.

Farei qualcosa di simile a questo, combinato con il sopraccitato tracciamento dell'IP / utilizzo per cercare di identificare comportamenti scorretti e "gamificaton" per premiare un buon comportamento.

score 1 · Answer 6

In Corea del Sud e nella RPC lo fanno richiedendo agli utenti di registrarsi con il loro numero di identificazione personale (numero di previdenza sociale per gli utenti statunitensi). Ma in queste società quel numero è molto meno "segreto" di quanto lo sia in America.

Sebbene non sia legalmente / politicamente / socialmente accettabile in tutti i paesi, questo è l'unico metodo davvero valido per limitare le registrazioni che abbia mai visto.

Non è davvero una soluzione per te, probabilmente, ma comunque di interesse.