register que registration accounts user-identification

registration - que - register huawei id



¿Impide que los usuarios inicien varias cuentas? (10)

Creo que, como mucha gente ha mencionado anteriormente, una de las mejores maneras es verificar los números de móvil y eso es lo que quería usar en primer lugar, si no fuera tan costoso ...

Encontré este sitio aquí y creo que puede usarse para este propósito, pero no lo he probado yo mismo, pero parece bastante moderno y barato.

Sé que al final, no se puede hacer.

Pero, ¿cuáles son las opciones para:

a) limita las opciones para que las personas creen cuentas múltiples,
b) aumentar la posibilidad de detectar cuentas múltiples / persona

para un servicio web tipo blog?
(las personas pueden registrarse para su propio blog)

Actualizar:
Creo que el ''limitar las opciones'' ha sido respondido muy bien. (no hay un método confiable, pero podemos subir el listón)
Sin embargo, me gustaría saber qué otras opciones hay para detectar varias cuentas.

¿Asumo que estás hablando de un servicio gratuito? No puedo pensar en ninguna manera que tampoco tenga inconvenientes serios o que sea trivial derrotar. Cosas como configurar una cookie, que requieren una dirección de correo electrónico única, son fáciles de vencer.

Requerir una dirección IP única no es infalible, pero podría funcionar hasta cierto punto, hasta el punto de que tienes muchos usuarios y obtienes quejas de las personas que están detrás de los proxies.

Las mejores formas de cobrar dinero o exigir que las personas proporcionen algún tipo de información personal, como nombre real / teléfono / dirección que verifiques, o un número de CC, pero eso es invasivo (de nuevo, quizás solo quieras usuarios serios que estén dispuestos a proporcionar este tipo de información).

Supongo que volveré la pregunta y preguntaré "¿Por qué no quieres que la gente tenga varias cuentas?"

Puede haber otras formas de mitigar el motivo subyacente, es decir, si le preocupan muchos blogs huérfanos, puede escanear durante un período de inactividad y deshabilitarlos o, al menos, programarlos para ser examinados por un ser humano. Si le preocupan los blogs de spam, puede escanear periódicamente todo el contenido del blog para detectar spam. Si le preocupan los bots y está usando algún software genérico como WordPress, cambie los nombres de las variables de formulario y proteja sus formularios de los bots.

Definitivamente piense en otras formas de enfrentar el problema, ya que no podrá impedir que las personas registren varias cuentas si se trata de un servicio gratuito típico como Blogger.

En cuanto a la detección de cuentas múltiples por una persona, lo primero que debe hacer es tener un archivo de registro de datos completos en cada inicio de sesión de usuario (nombre de usuario, marca de tiempo, IP, agente de usuario, etc.), que luego puede analizar. Enumeraré algunas cosas que debo tener en cuenta, pero simplemente analizando detenidamente el archivo de registro probablemente descubrirá otros patrones. Algunas ideas de cosas que debe buscar son:

  • Establezca una cookie de seguimiento (es decir, hash aleatorio) y registre su valor al iniciar sesión, busque varios inicios de sesión desde el mismo valor de cookie.
  • Inicios de la misma combinación de dirección IP / usuario-agente
  • Ingresos desde la misma dirección IP solamente (menos confiable que las dos viñetas anteriores)
  • Cuentas con direcciones de correo electrónico de servicios gratuitos de webmail (Gmail, etc.)
  • Cuentas con la misma contraseña

Si le preocupan los blogs de spam, podría intentar hacer un análisis del contenido del blog, es decir, extraer todos los <a href> y buscar correlaciones entre los blogs. Podría ejecutar el contenido del blog en sí mismo a través de algo como SpamAssassin o de lo contrario filtrar las palabras no deseadas como "viagra" y "rolex".

Creo que el mejor método sería eliminar los incentivos para crear múltiples cuentas.

¿Limitas a los usuarios de alguna manera? ¿Pueden superarse esos límites (fácilmente) creando múltiples cuentas? Si es así, entonces tal vez deberías pensar en eliminar esos límites.

No puedes y no deberías. No está tratando con los tipos del mundo real, sino con cuentas, así que trátelos como entidades abstractas que tienen los mismos derechos a vivir.

Algunas opciones que puedo imaginar sobre la marcha:

- Solo una cuenta para la dirección de correo electrónico. Pero puedo crear más de un correo electrónico ... o usar Mailinator.

- Procedimiento de verificación largo y tedioso. Pero eso desanimará a los usuarios de registrarse

- vincular el IP a la cuenta y bloquear (¿temporalmente?) esa IP desde la creación de otra cuenta. Pero dos usuarios diferentes con la misma puerta de enlace serán bloqueados ...

- Utiliza las cookies. Pero el usuario puede eliminarlos.

Pídales a los usuarios que se registren con una tarjeta de crédito. No tiene que cargar nada en la tarjeta, solo puede verificar que la tarjeta sea válida.

Puede enviar a los usuarios un mensaje SMS para verificar antes de crear la cuenta. Como las personas no pueden obtener números de teléfono celular tan fácilmente como pueden obtener direcciones de correo electrónico, esto podría funcionar. Algunas personas podrían obtener dos o tres cuentas, pero no un número ilimitado. Hay una serie de servicios que le permiten enviar mensajes SMS de forma programática, incluidos Gizmo SMS , Text4Free y TxtDrop .

Por supuesto, esto requiere que los usuarios tengan teléfonos celulares y estén dispuestos a proporcionarle el número.

Una opción común es verificar la identidad de las personas a través de su correo electrónico. En realidad, haz que respondan a un correo electrónico enviado a su cuenta. Algunos sitios dan un paso más y no permiten direcciones de dominios como yahoo, g-mail, hotmail, etc.

Los métodos más difíciles de romper implementados en la vida real son utilizar un medio de hardware separado para la confirmación (enviar un código de confirmación a través de SMS para un servicio público, o enviar un token RSA por algo más confidencial, como acceso a intranet), o para solicitar una identificación financiera, por ejemplo, un número de cuenta bancaria (Paypal deposita unos centavos en su cuenta y la suma de las cantidades es su código de acceso) o un número de tarjeta de crédito válido.

Puede configurar una cookie de navegador cruzada, por ejemplo, http://samy.pl/evercookie/ (cookies flash). No se pueden borrar con la eliminación de cookies del navegador, permanecen 4 y se pueden leer los navegadores cruzados de cookies. Es la solución definitiva si el usuario usa la misma computadora. Con más de 1 computadora, la dirección IP es su única forma de averiguarlo, pero (en mi caso) a veces 2 personas reales en la misma casa con 2 computadoras inician sesión en mi sitio web 2

Creo que una dirección alternativa a tomar con esto es dejar que los "grandes" lo hagan.

http://oauth.net/

Descargue la autenticación de su sitio a una tercera parte conocida como Google o Facebook. No evitará cuentas duplicadas, pero es bueno pensar que lo último en prevención de spam y otras cosas se implementa automáticamente para usted.