Come verificare che qualcuno sia chi dice di essere online?

19

Sto lavorando a un'applicazione web per le applicazioni di lavoro online e mi è venuta la domanda su come verificheremo che qualcuno che invia una domanda è chi dice di essere.

Ad esempio, non vogliamo che Jon Smith invii una richiesta per Abe Miessler.

Abbiamo parlato di fare in modo che le persone creassero profili sul nostro sito al fine di inviare una domanda, ma in realtà ciò richiederebbe solo che abbiano un indirizzo email.

Quando ho visto questo fatto in passato, l'organizzazione che verifica già sa di te. Ad esempio, per creare un account online con la tua banca potrebbe essere necessario conoscere il tuo SSN, l'indirizzo postale e il numero di conto. La banca può quindi confrontare quello che hai inserito rispetto a quello che hanno nel loro record per vedere se sei quello che dici di essere (in un mondo perfetto).

Nella mia situazione non so nulla di chi sta applicando, quindi non c'è nulla da verificare contro.

Esistono approcci standard là fuori per stabilire che qualcuno è chi dicono di essere?

    
posta Abe Miessler 24.08.2012 - 23:11
fonte

6 risposte

21

Identity è un concetto malleabile con una fastidiosa tendenza a trasformarsi ogni volta che lo guardi troppo da vicino. Quello che capisco dalla tua descrizione è che vuoi essere in grado di rintracciare alcune azioni (cioè "fare domanda per un lavoro") da un utente di rete casuale a quello reale, in modo che, se l'applicazione di lavoro fosse falsa in qualche modo, hai abbastanza leva per punire adeguatamente il colpevole. O, più precisamente, devi convincere a priori gli utenti che saranno in grado di rintracciarli e, almeno metaforicamente, rompere le rotule.

Indipendentemente dal modo in cui risolvi il problema, parte di esso si trova nel "mondo fisico" (al di fuori dei computer), quindi sarà difficile e costoso.

La soluzione teorica completa è che alcuni detective facciano il tracking, che è fattibile per il Long Arm of Law ma solitamente non per le entità di business private, perché gli "utenti di rete" di base sono identificati esclusivamente dall'indirizzo IP in entrata, e per collegarlo a un'identità fisica è necessario dare un'occhiata ai file di log dell'ISP, che richiedono un mandato o complici indelicati. Si dice che non contenga problemi con le connessioni da paesi stranieri (una volta che sai che la connessione proviene dalla Cina, beh ... fai cosa, esattamente?).

Pertanto, a causa dell'impraticabilità e del costo del vero lavoro di investigazione, dovrai eseguire il sanguinamento su un'infrastruttura esistente che fornisce l'autenticazione di cui hai bisogno. Il mio primo pensiero riguarda le banche. Va così: chi fa domanda di lavoro ti paga una somma di un minuto (diciamo 0,01 $) con la sua carta di credito (o tramite Paypal o qualsiasi altro sistema bancario simile). Questo ha diversi vantaggi:

  • L'operazione di pagamento lascia tracce in molti punti.
  • Poiché una transazione era implicita, potrebbe aiutare a qualificare legalmente le domande di lavoro false come "frode" (chiedi ai tuoi avvocati, ti diranno che questo è molto buono, con un bagliore negli occhi e un po 'di schiuma).
  • I numeri delle carte di credito vengono abitualmente rubati, ma puoi ottenere un'assicurazione contro questo.

e, ultimo ma non meno importante:

  • Le persone (in generale) sanno già che "non si scherza con le banche". Questo rende il sistema di rilevamento proattivo (vorresti autenticare le persone, ma, ancora di più, preferiresti davvero che non provassero a mentire in primo luogo).

Una nota concettuale: come dici tu, "non sai nulla di chi sta applicando". Questo è il problema di fondo: come si può definire una nozione di identità corretta se non c'è nulla da identificare (per essere precisi, fai conosci qualcosa sui candidati: i loro indirizzi IP, ma non è molto). Da qui il percorso verso la soluzione: i candidati impegnano alcune informazioni su di essi. Ecco di cosa tratta la soluzione bancaria sopra descritta.

    
risposta data 25.08.2012 - 00:32
fonte
6

Puoi utilizzare la verifica dell'identità di qualcun altro.

Ad esempio, per evitare le procedure di verifica delle banche, puoi chiedere all'utente un numero di carta di credito con il loro nome e indirizzo di fatturazione, quindi accreditare una piccola somma scelta a caso su quella carta di credito nella valuta locale e chiedere loro per dirti quanto è stato accreditato come prova di avere accesso a tale account.

    
risposta data 26.08.2012 - 22:30
fonte
5

In realtà una domanda interessante per quel tipo di sito. Stavo rivedendo un'applicazione simile dove c'era la possibilità di inviare curriculum online - inclusi i riferimenti. Un profilo doveva essere creato per registrarsi al sito - ma poiché tutto ciò che era richiesto era un indirizzo email, i controlli attorno a esso erano molto limitati. È stato sottolineato che la persona malintenzionata "A" potrebbe presentare il curriculum della persona B con un riferimento che indica il loro attuale datore di lavoro. In questo modo, la persona B si troverebbe nei guai con il loro attuale datore di lavoro quando sono stati contattati per un riferimento. Non sono sicuro che ci sia una buona risposta perché fa parte di una più ampia domanda sull'identità online in generale, che sospetto diventerà sempre più cruciale col passare del tempo. Ad esempio, devo registrare il mio indirizzo e-mail con qualsiasi fornitore e variante del mio nome per proteggermi dal danno alla reputazione se qualcun altro cerca di creare un indirizzo per me e lo utilizza a scopi dubbi? Se in realtà sono [email protected] - cosa impedirà a qualcun altro di registrare [email protected] e mascherarsi da me? E poi che ne pensi del social networking se qualcuno crea un profilo Facebook a mio nome e inizia a inserire contenuti che non mi riguardano su di esso?

    
risposta data 27.08.2012 - 17:33
fonte
3

Puoi verificare gli utenti in base al loro numero di telefono. Il telefono è uno dei dispositivi di autenticazione più comunemente utilizzati per la verifica dell'identità . TeleSign offre una gamma di prodotti di identificazione e autenticazione basati su telefono. Perché non sfogli il loro sito Web per familiarizzare con alcuni dei loro prodotti? Hanno anche delle demo sul loro sito web che puoi controllare!

    
risposta data 28.09.2012 - 09:16
fonte
-1

È difficile.

Conosco l'idea di verificare un utente con l'aiuto del modo in cui scrive (quanto velocemente scrive e dove si è fermato, ecc.). C'è la teoria che tutti abbiano il proprio stile nello scrivere su un keybord proprio come la tua calligrafia. Certo, si potrebbe copiare anche questo, ma per questo bisogna prima conoscere questa "caratteristica". (La sicurezza dell'oscurità è cattiva, lo so ... ma vale la pena provarlo)

Quindi potresti usare il modo in cui si scrive il suo nome utente come verifica?

Ma non puoi mai essere sicuro. : (

    
risposta data 28.08.2012 - 16:49
fonte
-3

Scatta la foto del richiedente tramite webcam utilizzando lo script script di azioni o silver light e invia al tuo server con l'applicazione inviata.

    
risposta data 25.08.2012 - 05:03
fonte

Leggi altre domande sui tag