Come distribuire, un gettone virtuale per ogni persona in questo mondo, e assicurarsi che nessuno ne faccia più di uno?
In altre parole, come impedire a un utente di creare più di un account utente in un sito?
Come si chiama questo problema? C'è qualche nome specifico per questo problema? Quali sono le soluzioni? Grazie.
Il compito dichiarato è impossibile. Potresti essere in grado di venire accettabilmente vicino a seconda della tua capacità di costringere prove (ssn, patente di guida, data di nascita, ecc.). Ma a meno che tu non sia un sito governativo, la maggior parte delle persone andrà altrove.
Il problema è chiamato "identificazione". Il token identifica in modo univoco una persona e vuoi impedire alle persone di ottenere identità multiple.
La migliore soluzione che abbiamo per questo sono passaporti e carte d'identità governative, o meglio i metodi usati per distribuirli, che si basano principalmente su documenti pubblici incrociati, in particolare sui registri di nascita. Ma non è certamente impossibile da aggirare: spesso i criminali ottengono identità multiple (valide, non contraffatte) sfruttando le falle nel sistema.
Il più vicino possibile come operatore di un sito web dipende da questo sistema - alcuni paesi (ad esempio la Germania) dispongono di tessere governative che includono un ID crittografico che può essere utilizzato per l'autenticazione da terze parti, anche su Internet (ma di solito richiedono che l'operatore del sito web si registri anche con il governo). Una versione low-tech di questo è stabilire una presenza fisica e richiedere alle persone di presentarsi di persona e presentare il loro documento di identità.
Se, come è più probabile, non puoi fare nulla di tutto ciò (soprattutto perché nessuno di questi può essere fatto facilmente a livello internazionale) - devi solo accettare che è impossibile impedire alle persone di ottenere identità multiple e pianificare il tuo sistema intorno a questo fatto.
L'identificazione utente unica è il problema, e in pratica sei limitato a ciò che puoi fare al riguardo. Molti sistemi hanno iniziato a dipendere da strumenti come OpenID (che a sua volta dipende da "provider di identità"). Tuttavia, questa è una soluzione inadeguata in alcuni casi, perché impedisce a un utente di stabilire più identità OpenID.
Normalmente, il modo in cui risolviamo questo problema con i siti Web è di riformulare del tutto il problema. Quindi, per esempio, supponiamo che stiamo cercando di impedire alle persone di creare più account perché ogni account ottiene un asset virtuale. Non vogliamo che tradiscano aggregando queste risorse iniziali in un unico account.
Quali sono alcuni modi per affrontare questo? Bene, uno è quello di rendere l'utente effettivamente pagare una tassa nominale per aprire un account. Se mi costa $ 1,99 per creare un account, allora questo toglie molto l'incentivo a imbrogliare. Ovviamente non impedisce completamente la truffa, ma se guadagni soldi quando le persone imbrogliano, importa? Un altro modo è forzare i nuovi utenti a completare alcune attività che richiedono tempo per ottenere le loro "risorse iniziali". In questo modo, non stai impedendo agli utenti di utilizzare il sito gratuitamente, ma SEI li costringi a dedicare del tempo a far funzionare un nuovo account, il che a sua volta rende difficile "barare". Un altro approccio consiste nel rendere queste "risorse iniziali" speciali in qualche modo in modo che non possano essere scambiate - forse sono marchiate con le credenziali dell'account dell'utente al momento della creazione, e ciò le rende inutilizzabili da un altro utente nel sistema.
Quindi, a meno che tu non stia facendo qualcosa di estremamente inusuale in cui l'effettiva identità è davvero un requisito aziendale, la soluzione migliore è probabilmente quella di ripensare la tua richiesta. Se hai veramente bisogno di identità e non ripudio, allora devi praticamente passare a una tecnologia low-tech - interazione con gli utenti dove forniscono documenti di identità rilasciati dal governo.
Ecco un modo diverso di guardare al problema. Hai un elenco di appartenenza al sito e un nuovo candidato. Come fai a sapere se questo candidato ha già un account sul tuo sito web?
La risposta breve è che non si può mai essere certi ... ... ma ci sono cose che possono essere testate. Puoi convalidare qualcuna delle informazioni personali che hanno fornito? Un comune sta inviando una e-mail che deve cliccare sul link per confermare che l'indirizzo e-mail è loro. ma per quanto riguarda il loro indirizzo di casa? inviare una lettera con un codice lì che hanno inserito sul sito Web (o un codice QL che possono scansionare). Che dire di un altro sito web che può garantire la loro identità - login facebook ecc ...? I loro dettagli sul registro elettorale?
Alcuni siti hanno utilizzato approcci come richiedere foto della patente di guida o del passaporto dove ci sono ragioni legali per conoscere il cliente.
Come altre risposte hanno chiarito, il problema dichiarato non ha una soluzione perfetta, solo approssimazioni e disincentivi. Se è necessario stabilire prima di creare un account che l'utente non ne ha già aperto uno, non c'è altro da aggiungere.
Tuttavia, se è accettabile creare un account senza controllare l'identità e poi gradualmente chiudere nel tempo account che sono stati identificati come duplicati, allora potresti essere in grado di portare il numero di account duplicati a un livello accettabilmente basso con meno problemi per te o per i tuoi utenti.
Se i tuoi utenti interagiscono con, ad esempio, un sito web usando il loro account su base regolare, allora il loro input può essere usato per mantenere una "impronta" del loro stile di input. Questo potrebbe essere sotto forma di velocità e frequenza dei movimenti del mouse e delle sequenze di tasti, uso di particolari parole, frasi, uso in particolari momenti della giornata e della settimana, o qualsiasi altra cosa che la vostra particolare situazione rende disponibili. Le misure più diverse che puoi includere meno sensibili sono le impronte digitali risultanti da sviste o falsi positivi.
Eticamente mi aspetterei che queste informazioni vengano trattate allo stesso modo delle impronte digitali effettive. L'utente deve essere informato che le informazioni vengono raccolte, avere il diritto di richiederne una copia o di averle cancellate e avere la certezza che non saranno condivise senza il loro esplicito permesso. Altrimenti potrebbe essere usato per divulgare l'identità di una persona a qualsiasi sito web non collegato che ha acquistato la propria impronta digitale.
Sebbene questa "identità" non includa il loro nome e indirizzo, solo sapere che un utente ha un account con un dato sito può essere utile per gli inserzionisti o le organizzazioni che desiderano schermare i loro utenti, quindi prenderei in considerazione la condivisione di questa impronta digitale essere non etico senza il consenso esplicito.
Il lavoro è già stato fatto su tali impronte digitali. Ad esempio, questo documento . Il collegamento dà accesso solo all'astratto. Non sono riuscito a trovare una versione gratuita dell'articolo completo, ma i numeri forniti in astratto danno un'idea di quanto velocemente si possa essere in grado di creare un'impronta digitale accurata. Sono disponibili informazioni gratuite in questa pagina di Wikipedia . Mentre è necessario memorizzare i dati per ogni account sui server, la maggior parte del lavoro di raccolta, compressione e confronto delle impronte digitali può essere fatto sui computer degli utenti.
Queste informazioni possono essere utilizzate per evidenziare potenziali account duplicati, che possono quindi essere chiusi se sei sufficientemente certo, o sollevati con l'utente per richiedere l'identificazione se concedere loro il beneficio di qualsiasi dubbio. Se sei pronto ad accettare alcuni duplicati esistenti per il tempo necessario a identificarli, allora questo approccio consente alla maggior parte degli utenti di non dover mai fornire l'identificazione.
Questo approccio non impedirà tutti i duplicati. Sarà efficace con la maggior parte degli utenti, ma il software potrebbe essere utilizzato per mascherare i modelli di battitura e anche le ore del giorno (invio di informazioni mentre l'utente dorme ad esempio). Inoltre, non c'è nulla che impedisca a un utente di aprire un nuovo account e che un amico esegua la propria digitazione (a condizione che quell'amico non abbia un proprio account che poi verrà visualizzato come duplicato).
Ci sono opportunità di falsi positivi che dovrebbero essere affrontati al fine di evitare l'esclusione di gruppi di persone. Ad esempio, esiste una grande varietà di motivi per cui un utente potrebbe non essere in grado di utilizzare la tastiera o il mouse e quindi dovrebbe avere qualcuno da digitare per loro. Se anche quella persona ha un account, verrà visualizzato come duplicato.
Tutti i problemi con l'identificazione delle persone si applicano ancora, ma questo approccio consente l'identificazione solo per un gruppo di utenti molto più piccolo.
Se desideri fornire un token in un evento singolo, senza possibilità di eliminazione dei duplicati che verranno identificati in seguito, questo non sarà di alcuna utilità per te. Se (come suggerito in uno dei commenti delle domande) stai cercando di creare un sistema decentralizzato con un account per persona, questo approccio non è strettamente incompatibile con il decentramento, ma dovrebbe avere un tasso molto basso di falsi positivi quando si elimina sospetti duplicati, specialmente se il token è collegato al valore monetario. Un altro problema importante sarebbe la protezione dei dati delle impronte digitali dall'estrazione dal software decentralizzato per l'uso altrove.
Potresti dare un'occhiata al programma indiano di Aadhaar: link Cerca di fornire a ciascun indiano (ora + futuro) un ID univoco, che può anche servire per operazioni bancarie, ecc ....
Per aggiungere un piccolo rant: La domanda posta dall'OP non è di per sé tecnica. Certo, potresti discutere incessantemente degli schemi di identificazione ecc. Ma il compito molto più scoraggiante è l'organizzazione dell'intero schema. Hai bisogno di avere uffici anche nelle zone più rurali del mondo (passaporto? Numero di previdenza sociale?) Dove l'analfabetismo dilaga. Inoltre, è necessario disporre di uno schema che offra alti tassi di natalità e persino di monitorare i bambini nella regione in cui l'infrastruttura è molto scarsa. Dal momento che l'India ha molti di questi problemi, ed è lo schema di Aadhaar che sembra essere un successo, lo guarderei e proverei ad emularne le pratiche.
Leggi altre domande sui tag authentication automation