logo标签列表

如何防范使用多个账户的用户?

uniqueidentification
7
我们有一个服务,实际上是免费赠送钱的。
显然这种服务很容易被滥用。为了防止滥用,我们采取以下措施:
- 记录 IP 地址 - 使用唯一的电子邮件地址(每个账户/电子邮件地址仅限使用一次) - 收集更多信息,如街道地址、电话号码等 - 使用注册验证码 - BHOs(我见过扑克房间使用这些)
现在,让我们来看看实际情况--所有这些都无法阻止一个有决心的用户。
显然,IP 地址可以通过代理更改(如果用户具有动态 IP 或多个用户在 NAT 网络后面,则可以更改),但即使用户具有静态 IP,也可以更改。
我可以每小时注册数千个唯一的电子邮件地址--这不是防御。
我可以输入从街道地址和电话号码列表中获取的虚假信息。
我可以从验证码解决服务购买验证码(1k 5美元)。
BHOs 只对可下载软件有效--这是一个网站。
还有哪些方法可以防止多个用户滥用服务?所有 PPC 人员如何控制点击欺诈?
我知道我们可以实际打电话给这个人,但我认为我们不会很快这样做。
谢谢,
7
我该在哪里注册? - hollsk
2
我在哪里可以注册?我需要更多的钱! - Lasse V. Karlsen
你如何向账户持有人转账?我认为一个显而易见的解决方案是将单个账户绑定到特定的银行账户或街道地址(不允许使用邮政信箱)。 - Rudism
8个回答
3

生成大量可以发送和接收短信的虚假电话号码是非常困难的。短信验证可以在很大程度上减少欺诈行为。当然,这也限制了您只能向手机所有者赠送免费资金。

是的,这可能是最好的方法,但它有两个限制——这是每个用户额外X美分的成本,而且它只限于拥有手机的人,我认为我们做不到。 - eyberg
@eyberg 世界变化真大。 - undefined
1

我认为唯一的方法是将用户帐户绑定到“现实世界”的信息,例如他/她的护照号码。当然,您需要确保这些信息得到安全存储,并找到某种验证方式。

1

关于注册新电子邮件帐户的问题...

用户甚至不需要这样做。请随意将您的邮件发送至brian_s@mailinator.com、feydr.asks.a.question@spamherelots.com、stackoverflow@safetymail.info或my_arbitrary_username@zippymail.info。我没有注册任何这些电子邮件地址,但它们都可以使用。

这些域名是由ManyBrain拥有的,并且他们(可能还有其他人)设置了该域名以接受任何电子邮件用户。特别是ManyBrain然后使这些邮件的收件箱在没有任何注册的情况下公开访问(从电子邮件中删除所有文本并删除旧邮件)。快去看看:admin@mailinator.com's email inbox

其他人已经提到了尝试保持用户身份唯一的方法。这只是不信任电子邮件地址的又一个原因。

1
首先,我希望你不是真的免费发放钱财,而是将其用于使用你的服务或类似的事情。
这很重要,因为用户试图从你那里获得免费金钱来购买昂贵汽车与仅在你的服务上花费金钱会有很大的区别。
显然,在前一种情况下,会有更多的用户试图欺骗系统。
为什么这很重要?因为这涉及到你控制和用户烦恼之间的平衡。我看到许多答案集中在控制部分,所以让我们来谈谈烦恼吧。

  • 记录 IP 地址。如果我在网吧等公共场所使用电脑,前面的人已经使用了该 IP 地址,那么我该怎么办?那个人离开了你的热门页面,而我因为IP 被封锁而无法访问。是的,我可以去另一台电脑上访问,但这很麻烦,而且我可能还有其他事情要做。

  • 收集物理地址。干嘛用?你会来拜访我吗?或者开始给我发送垃圾邮件?让我猜猜,通常情况下,你最多只会得到错别字的地址,最坏的情况是虚假地址。事实上,对于我来说,提供虚假地址并不麻烦,因为我不想处理可能需要以环保的方式回收的垃圾邮件。 :)

  • 收集电话号码。再说一遍,我为什么要相信你的网站?这是真实的故事。我把我的电话号码给了一个不知名的网站,然后后来我开始收到偶尔的、充满废话的消息,比如“打苍蝇”。我直接删除了。只是后来,碰巧发现每条短信我都被收取了 2 欧元的费用!!!我想要这样的麻烦吗?显然不!所以,伙计,抱歉让你失望了,我不会给你的网站我的电话号码,除非你的公司叫做 Facebook 或 Google。:)

  • 使用注册验证码。我很喜欢那个 :). 那么我们在这里想要实现什么?决定滥用你的服务的用户,是否会遇到输入几个验证码的问题?我怀疑不会。但是对于“好用户”来说呢?你是否意识到验证码对许多用户来说是多么烦人?对于视力受损的用户怎么办?但即使没有这个问题,大多数验证码也太差了,让你感觉自己像有视力障碍一样!我可以给出的最好建议是 - 如果你关心用户体验,请像避开瘟疫一样避开验证码!如果你有任何疑问,请先进行在线调查!

在这里查看控制与烦扰的更多讨论以及这里的一些更多想法,关于如何使用户友好。

0

正如Rubens所说,您必须将他们的信息绑定到某些“现实世界”的东西上。当然,您还需要能够验证这些信息(如果您不检查以确保它们正确,我可以整天编造护照号码)。

您如何交付资金?也许您可以通过PayPal帐户、邮寄地址或您发送资金的任何方式进行索引?

好主意!我还没有考虑过那个方向——可能有一种方法可以做到。 - eyberg
0
有时候,防止人们滥用系统的唯一方法就是根本不要有这个系统。
如果你正在做你所说的事情,“向人们赠送钱财”,那么毫不奇怪,会有大量人拥有更多时间来尝试寻找游戏系统的方法,而你则没有足够的时间来修复它。
0

我想永远不可能有一个可以识别假身份的身份验证系统,它需要满足以下条件:

  • 运行成本低廉(我认为这被称为“运营成本”?)
  • 实施成本低廉(理想情况下是一次性成本-你如何称呼它?)
  • 没有一型/二型错误
  • 可扩展性强

但我认为您可以防止用户拥有太多(比如说一个相当随机的数字:超过50个)帐户。

您可以结合以下方法:

  • IP地址: 可以通过VPN绕过
  • CAPTCHA: 可以通过人工团队绕过(参见this article,例如,虽然他们声称他们的测试不能轻易通过给其他人,但我怀疑这是真的)
  • 基于能力的身份验证: 当你知道存储了什么以及身份验证的确切工作方式时,可以通过随机行为来伪造(例如: brainauth.com
  • 现实世界互动: 虽然这可能是最好的方法,但我猜它很昂贵,并且不会有很多用户接受。而且,对于一些用户/国家来说可能是不可能的。(例如:Postident 在德国,邮局要求看你的身份证。我猜只有政府才能在大规模上面对这个问题。)
  • 其他网站/资源: 这实际上是将问题转化给其他网站。您可以使用不允许/不常见/昂贵拥有多个账户的服务
    • 电子邮件
    • 电话号码: 例如通过使用短信,参见Multi-factor authentication
    • 银行账户: PayPal; 不要转太多钱,或者请他们给您转一笔随机(小)金额(然后您将退还给他们)。
  • 基于社交
    • 当您使用社交图(顶点是人,边是连接)时,您将期望某种分布。您知道自己是一个单独的人,也认识其他一些人。因此,您拥有一个"信任网络"(引号中的信任,因为我认为这在其他上下文中也可以使用)。现在,您可能不信任与您的服务频繁互动但要么孤立(无连接),要么将一个大群体与另一个大群体连接起来的人/网络。您也可能不信任快速增长、互动频繁的新的、孤立的图。
    • 当用户提供被许多其他用户(您信任的用户)喜欢的内容时,这可能表明有一个真实的人创建了该内容。
0

我们最近在网站上遇到了类似的问题,如果您提供一次性或每月循环免费信用系统的业务,解决这个问题真的很麻烦。

我们使用欺诈检测解决方案https://fraudradar.io已经有一段时间了,这帮助我们清除了大部分的垃圾邮件活动。它非常可定制,包括:

  1. IP检查
  2. 电子邮件域有效性
  3. 正则表达式规则
  4. 白名单选项,如IP、电子邮件域等
  5. 简单的API通信

我建议您去看看。

网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接