Prevenire le frodi elettorali online

I sistemi di voto sono "scommessi" da persone che votano più volte di quelle che dovrebbero essere normalmente consentite (ad esempio, il voto più volte). L'unico modo per evitare questo è avere un modo per identificare gli elettori e prevenire più voti.

Affidabili comportano l'autenticazione degli utenti, ad es. con password, ma questo ha due inconvenienti, vale a dire che 1. gli utenti non gli piacciono e 2. questo non risolve il problema, ma lo sposta in una precedente "fase di registrazione".

Inaffidabili riguardano il rilevamento euristico delle frodi monitorando gli indirizzi IP (ma questo non funziona con un indirizzo IP dinamico - un utente può cambiare il suo IP, e questo accade più o meno automaticamente con molti ISP - e anche con NAT - diversi utenti distinti che condividono lo stesso IP) o con altri metodi. Semplicemente l'invio di un cookie "ha votato" nel browser dell'utente dissuaderà i truffatori di base e low-tech; ci sono metodi più approfonditi , ma tutti questi possono essere aggirati da un aggressore tecnologicamente esperto. Tor è uno strumento che si occupa dell'anonimato, un argomento strettamente correlato e mostra che stai cercando di combattere una battaglia persa.

StatckExchange si trova di fronte allo stesso problema, che chiama fantoccio a forma di calzino . Alla fine hanno preso un atteggiamento rilassato, con script (non pubblicati) per rilevare i tentativi di gioco più palesi, e soprattutto ignorando il resto.

Limitare il voto singolo per IP, può seriamente limitare la partecipazione B2B. La maggior parte delle aziende sono dietro proxy o NAT che presenta l'intera organizzazione come una piccola gamma di IP.

Dato che ci sono soldi reali e premi reali coinvolti, collegare un account a un'identità alternativa di produzione difficile da produrre può davvero limitare l'abuso. Gli esempi potrebbero includere il tuo indirizzo email di lavoro o il tuo numero di telefono aziendale.

Quando il loro nome è tratto dal concorso, è facile squalificare [email protected], o guardare attraverso i domini registrati per individuare qualcuno che ha riutilizzato il proprio indirizzo aziendale, ad esempio, [email protected], joe + 124 @ example.com ... Inoltre una clausola "I vincitori del concorso saranno avvisati telefonicamente", significa che riempire il voto non ti farà vincere alcun premio.

I captcha nel modulo di registrazione manterrebbero le registrazioni automatiche dal crapflooding del tuo database, ma la tua reale protezione dalle false registrazioni è il controllo di indirizzi email ragionevoli (convalidare l'indirizzo e vietare cose come mailinator) combinato con il disincentivo delle false registrazioni che non vincono nessuno premi.

Infine ... anche se ci sono attacchi teorici a questo tipo di sistema, in pratica qualcuno dovrà davvero non gradire che tu sia così persistente.

Puoi chiedere agli elettori di avere un vecchio account di Facebook (o twitter) creato prima dell'inizio della votazione, questo è qualcosa che renderà impossibile per qualcuno registrarsi solo per votare, e la possibilità che qualcuno abbia un assaggio di gli account su questi siti di social networking sono molto piccoli e possono probabilmente essere gestiti con altri metodi, come il monitoraggio degli indirizzi IP o dei cookie e il controllo dei proxy

Ci sono una grande varietà di script php per controllare gli utenti che usano i proxy, ma potresti volerli su google o chiedere a StackOverflow.

Perché i proxy e Tor dovrebbero essere un segno che un utente non ha scrupoli? Tor è un segno che qualcuno è consapevole della privacy, o vive in un paese che limita l'accesso alle informazioni. Un proxy è un segno che qualcuno sta effettuando l'accesso da una rete aziendale più che un segno che non stanno facendo del bene.

Suppongo che tu stia cercando di impedire a un singolo individuo di creare più account usando identità fittizie per distorcere i risultati. In realtà non c'è modo di prevenirlo - chiunque abbia abbastanza tempo e inclinazione può farlo senza che tu ne abbia visibilità. È uno dei grandi problemi di Internet, e se lo risolvi farai miliardi.

Ci sono alcuni modi per rendere un po 'più difficile per le persone impostare più account, soprattutto aumentando lo sforzo necessario:

1. Non consentire una chiamata API per creare account, fare in modo che tutti debbano farlo manualmente nella pagina.
2. Inserisci i capcha e usa altre tecniche per assicurarti che sia un essere umano a creare un account. Chiedi la soluzione a un semplice problema di matematica, mettilo in un grafico piuttosto che in un testo
3. Convalida tutti gli indirizzi email e falli cambiare le loro password ogni 90 giorni
4. Ispeziona gli hash delle password per trovare password identiche, se hai 20 account che usano la stessa password è probabile che sia una persona pigra che cerca di giocarti. Non saprai quale sia la password, ovviamente, ma ti dà un punto di partenza.

Penso che un buon modo per limitare la frode elettorale online sia richiedere agli utenti di inserire i dettagli della propria carta di credito o di verificare la proprietà di un conto PayPal.

In questo modo puoi anche verificare che i nomi siano univoci, così anche se un singolo utente ha più carte, sarai in grado di limitarlo dal nome del titolare della carta.

La principale limitazione a questo metodo è che è necessario che gli utenti si fidino di te abbastanza per condividere con te i dati della tua carta di credito.

Richiedere troppe informazioni o passaggi dagli utenti li porterà a non votare affatto.

Se voi o gli utenti siete preoccupati per la sicurezza, potete usare un servizio di terze parti fidato per gestire la carta di credito, basta chiedere loro di pagare il pagamento più piccolo possibile, che è sufficiente per verificare che il loro proprietario spedisca una carta di credito e per sapere il loro vero nome.

Non raccomando questo metodo, ma è il più sicuro in termini di prevenzione della frode elettorale a mio parere.