Come sospendere un utente dal mio sito Web e impedirgli di creare un secondo account?

Non c'è modo di impedire registrazioni multiple.

Ho due suggerimenti da offrire

1. Rendi indesiderabili le registrazioni multiple, ad esempio, addebitando una commissione.

2. Esternalizzare il problema dell'identità a qualcun altro, ad esempio il mio utilizzo di Facebook o l'accesso a Google invece di eseguire il rollover.

No - dato che la maggior parte degli utenti proviene da grandi ISP, i loro IP non sono corretti per sempre - i nomi che ti danno non sono corretti

La sicurezza non è un problema in bianco e nero - anche se sembra che troppi non sembri capirlo - è un problema nel rendere il costo di sconfiggerlo non vale la pena

Nello scenario generale che stai descrivendo, captcha potrebbe essere d'aiuto - per i più stupidi che li sconfigge - per i più sofisticati, potrebbero non preoccuparsi di sprecare i cicli della macchina, almeno per gli spammer

le e-mail non ti faranno del bene - sono un bravo ragazzo e ho ancora un numero eccessivo di account e-mail, ed è molto facile ottenere di più in questi giorni

ricapitolare, smettere di cercare una soluzione in bianco e nero - invece, cercare una soluzione in cui i costi per gli utenti legittimi siano accettabili, ma i costi non sono accettabili per il premio dato a qualcuno che sovrascrive le tue garanzie

e prendi una pagina dal mondo di overflow dello stack: la reputazione è qualcosa che puoi associare agli account, quindi hai almeno un modo per "segnare" gli utenti

Potresti impedire la multi-registrazione aumentando la prova della tua identità (vedi OMB M-04-04 ). Ovviamente, così facendo, la registrazione è ora molto più difficile per i tuoi clienti legittimi. Quindi, mentre si potrebbe impedire la multi-registrazione, probabilmente non si vuole. (Si prega di notare che non sto seriamente suggerendo di aggiornare la verifica dell'identità, mentre l'aumento della verifica dell'identità risponde alla domanda specifica che hai posto, ma non penso che sia una soluzione pratica al tuo problema).

Credo che la tua vera sfida sia progettare un sistema di registrazione che scoraggi gli utenti fraudolenti ma sia relativamente trasparente per gli utenti legittimi. Se fossi nei tuoi panni probabilmente chiederei a @Mark Mullin di legare una certa reputazione all'account con identità federata . Identità federata significa che non si registrano gli utenti; permetti loro di utilizzare credenziali generate da terzi. Ad esempio, utilizzo le mie credenziali di google per accedere allo scambio di stack. Il "come" sull'identità federata è un po 'più complicato di quanto io ritenga appropriato in una risposta Stack Exchange, ma potresti voler consultare sito di Relying Party di Google . Due delle principali implementazioni sono OpenID e Shibboleth , e so che Kingsley Idehen ha pubblicato estesamente "how to", compresi gli esempi di codice (l'ultimo collegamento è al suo profilo G +, non ho un modo migliore per contattarlo).

Penso che ci sia molto merito nel suggerimento di Mullin di creare reputazione e collegarlo all'account dell'utente. Assegna un punteggio di reputazione in base al numero di transazioni a cui l'utente ha partecipato, o il valore totale delle transazioni, o come ebay, sul feedback degli altri partecipanti alla transazione.

E per fare eco al commento di qualcun altro, no, non è possibile rendere un sito Web sicuro al 100%. Questo è un principio fondamentale di sicurezza; il meglio che si possa sperare è di attenuare il rischio a un livello accettabile. Se stai davvero progettando la sicurezza per un sito web che implica transazioni monetarie, ti esorto a ottenere un architetto della sicurezza. La sicurezza è complicata Il tuo architetto di sicurezza deve avere molte conoscenze fondamentali che non possono essere rilevate tramite ricerche su google. Se stai conducendo transazioni monetarie senza un architetto della sicurezza, esponi la tua azienda a un rischio considerevole. Il rischio di perdere denaro, il rischio di essere citati in giudizio da clienti che hanno perso denaro o dati personali e potenzialmente responsabilità penale, a seconda di dove si trova. Questo non è qualcosa che può essere appreso attraverso un mese di ricerche su Internet.

C'è un modo per rendere estremamente difficile per un utente registrarsi di nuovo più di un certo numero di volte senza interrompere la registrazione legittima dell'utente. Segui i soldi ...

Come sito di shopping, i tuoi utenti devono utilizzare una sorta di sistema di pagamento. Se stanno inserendo le proprie informazioni finanziarie nel proprio sistema (non utilizzando una terza parte come PayPal), è possibile escludere le informazioni sul proprio credito / debito / conto bancario. Dovrai rendere obbligatorie le informazioni finanziarie come parte del processo di registrazione degli utenti, ma Apple fa la stessa cosa con l'app store, quindi non è verosimilmente percepito come irragionevolmente gravoso per gli utenti legittimi.

Ora, un utente malvagio può registrarsi solo una volta per ogni account di pagamento che ha. Se iniziano a cambiare costantemente i loro numeri di conto aprendo e chiudendo carte o conti, rischiano di attirare l'attenzione indesiderata da parte delle istituzioni finanziarie o dei regolatori.