Potresti impedire la multi-registrazione aumentando la prova della tua identità (vedi OMB M-04-04 ). Ovviamente, così facendo, la registrazione è ora molto più difficile per i tuoi clienti legittimi. Quindi, mentre si potrebbe impedire la multi-registrazione, probabilmente non si vuole. (Si prega di notare che non sto seriamente suggerendo di aggiornare la verifica dell'identità, mentre l'aumento della verifica dell'identità risponde alla domanda specifica che hai posto, ma non penso che sia una soluzione pratica al tuo problema).
Credo che la tua vera sfida sia progettare un sistema di registrazione che scoraggi gli utenti fraudolenti ma sia relativamente trasparente per gli utenti legittimi. Se fossi nei tuoi panni probabilmente chiederei a @Mark Mullin di legare una certa reputazione all'account con identità federata . Identità federata significa che non si registrano gli utenti; permetti loro di utilizzare credenziali generate da terzi. Ad esempio, utilizzo le mie credenziali di google per accedere allo scambio di stack. Il "come" sull'identità federata è un po 'più complicato di quanto io ritenga appropriato in una risposta Stack Exchange, ma potresti voler consultare sito di Relying Party di Google . Due delle principali implementazioni sono OpenID e Shibboleth , e so che Kingsley Idehen ha pubblicato estesamente "how to", compresi gli esempi di codice (l'ultimo collegamento è al suo profilo G +, non ho un modo migliore per contattarlo).
Penso che ci sia molto merito nel suggerimento di Mullin di creare reputazione e collegarlo all'account dell'utente. Assegna un punteggio di reputazione in base al numero di transazioni a cui l'utente ha partecipato, o il valore totale delle transazioni, o come ebay, sul feedback degli altri partecipanti alla transazione.
E per fare eco al commento di qualcun altro, no, non è possibile rendere un sito Web sicuro al 100%. Questo è un principio fondamentale di sicurezza; il meglio che si possa sperare è di attenuare il rischio a un livello accettabile. Se stai davvero progettando la sicurezza per un sito web che implica transazioni monetarie, ti esorto a ottenere un architetto della sicurezza. La sicurezza è complicata Il tuo architetto di sicurezza deve avere molte conoscenze fondamentali che non possono essere rilevate tramite ricerche su google. Se stai conducendo transazioni monetarie senza un architetto della sicurezza, esponi la tua azienda a un rischio considerevole. Il rischio di perdere denaro, il rischio di essere citati in giudizio da clienti che hanno perso denaro o dati personali e potenzialmente responsabilità penale, a seconda di dove si trova. Questo non è qualcosa che può essere appreso attraverso un mese di ricerche su Internet.