Rilevamento di account duplicati - Nuovo approccio?

2

Quindi sto lavorando a un gioco basato sul web e ho bisogno di affrontare il vecchio problema del rilevamento di account duplicato.

I giocatori spesso creano più account per generare denaro / articoli ecc. sul loro account principale, o per mettere da parte oggetti ecc.

Nei giochi che in genere ho giocato il modo principale in cui viene fatto è impedire che più account vengano utilizzati sullo stesso IP entro una certa finestra di giorni. Se succede ripetutamente, il nuovo account è bannato.

Il problema qui nella mia mente è che i giocatori determinati usano solo un proxy, e impedisce anche ai familiari di giocare entrambi nella stessa casa.

La mia idea è gestirla in un altro modo. Per tenere un conto corrente della "rete" di oggetti, denaro, ecc. Che ogni account ha dato a un altro come in scambi, doni, duelli persi, ecc., Oltre a tracciare il # di tali interazioni. Quindi se rilevo account che hanno un numero elevato di transazioni tra lo stesso account con una rete crescente scambiata da un account all'altro (di solito dall'account feeder principale) posso quindi ragionevolmente presumere che questi siano sospettati di essere conti dupe. Se le quantità o piccole e / o la frequenza sono piccole, allora può essere consentito.

Mi mancano alcuni buchi sgargianti in questo approccio? Mi rendo conto che i pesci piccoli possono rimanere sotto il radar, ma queste persone probabilmente utilizzerebbero comunque un proxy. E non impedirà ai membri della famiglia che fanno scambi occasionali tra loro.

    
posta Sherri 26.09.2014 - 01:08
fonte

1 risposta

2

Sul client, crea un generato a caso " id macchina "e impostalo come cookie. Quindi invia questo valore con le richieste. Ciò eviterà molti dei problemi menzionati con gli indirizzi IP. (Anche se non tutti.) Sul server, è possibile mantenere un elenco di tutte le macchine associate a un determinato account. Se vedi lo stesso ID su due account diversi, sai che entrambi gli account sono stati utilizzati nello stesso browser con lo stesso account locale sulla stessa macchina. Potresti ancora avere falsi positivi dato che i membri della famiglia a volte non si preoccupano di avere account separati, ma dovrebbe essere molto meglio di IP.

Ovviamente, questo è qualcosa che un utente esperto può facilmente evitare, quindi vorresti tenerlo morbido e non dare alcuna indicazione sul client che stai facendo questo. Probabilmente vorrai far sembrare che questo ID dispositivo sia solo parte della procedura di accesso. (Ad esempio, disconnetti l'utente dal gioco se il cookie scompare.) Se utilizzi una sorta di meccanismo di sessione basato sui cookie, incorpora l'id della macchina nell'ID di sessione.

Se l'utente non nota il cookie prima di creare l'account duplicato, è possibile rilevare l'uso del proxy vedendo che lo stesso ID macchina proviene da due diversi IP. (Anche se questo di nuovo può avere falsi positivi.)

L'idea di cercare un "comportamento imbroglione" non è male purché ti assicuri di mantenere un essere umano nel ciclo. Usalo per attivare avvisi per quegli umani. Una volta che un essere umano è nel ciclo, possono catturare modelli che nessun computer potrà mai avere. Ad esempio, un giocatore fa costantemente delle cattive operazioni su un altro giocatore.

Molto di questo suona come "Security by Obscurity". Lo è assolutamente. In un'applicazione basata sul Web, l'utente ha enormi quantità di controllo su ciò che viene eseguito e quindi non è possibile alcuno schema di sicurezza reale.

    
risposta data 26.10.2014 - 03:45
fonte

Leggi altre domande sui tag