¿Cómo verificar que alguien es quien dice que está en línea?

19

Estoy trabajando en una aplicación web de solicitud de empleo en línea y surgió la pregunta sobre cómo verificaremos que alguien que envía una solicitud es quien dice ser.

Por ejemplo, no queremos que Jon Smith envíe una solicitud para Abe Miessler.

Hablamos sobre hacer que las personas creen perfiles en nuestro sitio para enviar una solicitud, pero en realidad esto solo requeriría que tengan una dirección de correo electrónico.

Cuando he visto esto en el pasado, la organización que lo verifica ya sabe acerca de usted. Por ejemplo, para crear una cuenta en línea con su banco, es posible que necesite saber su número de Seguro Social, dirección de correo y número de cuenta. El banco puede comparar lo que ingresó con lo que tienen en su registro para ver si usted es quien dice ser (en un mundo perfecto).

En mi situación, no sé quién está solicitando, por lo que no hay nada que verificar.

¿Existen enfoques estándar para establecer que alguien es quien dice ser?

    
pregunta Abe Miessler 24.08.2012 - 23:11
fuente

6 respuestas

21

Identidad es un concepto maleable con una molesta tendencia a transformarse cuando lo miras demasiado de cerca. Lo que entiendo de su descripción es que desea poder rastrear algunas acciones (es decir, "solicitar un trabajo") desde un usuario de la red al azar hasta la persona real, de tal manera que, si la solicitud de trabajo es falsa de alguna manera, tiene suficiente influencia para castigar adecuadamente al perpetrador. O, más precisamente, debe convencer a a priori de que podrá rastrearlos y, al menos metafóricamente, romper sus rótulas.

Independientemente de la forma en que resuelva el problema, parte de él reside en el "mundo físico" (fuera de las computadoras), por lo que será difícil y costoso.

La solución teórica completa es hacer que algunos detectives hagan el seguimiento, lo que es factible para el brazo largo de la ley, pero generalmente no para las entidades comerciales privadas, porque los "usuarios de la red" básicos se identifican únicamente por la dirección IP entrante, y para vincular eso a una identidad física, debe echar un vistazo a los archivos de registro del ISP, que requieren una orden de registro o un cómplice delicado. Esto se dice sin tener en cuenta los problemas con las conexiones de países extranjeros (una vez que sepa que la conexión vino de China, bueno, ¿qué hace exactamente?).

Por lo tanto, debido a la impractibilidad y el costo del verdadero trabajo de detective, tendrá que descargar una infraestructura existente que proporcione la autenticación que necesita. Mi primer pensamiento es sobre los bancos. Así es: haga que los solicitantes de empleo le paguen una suma de minutos (digamos 0.01 $) con su tarjeta de crédito (o mediante Paypal o cualquier otro sistema bancario similar). Esto tiene varios beneficios:

  • La operación de pago deja rastros en muchos lugares.
  • Como se implicó una transacción, podría ayudar a calificar legalmente las solicitudes de trabajo falsas como "fraude" (pregunte a sus abogados, ellos le dirán que esto es muy bueno, con un brillo en los ojos y un poco de desprecio).
  • Los números de las tarjetas de crédito se roban de manera rutinaria, pero puede obtener seguro contra eso.

y, por último, pero no menos importante:

  • La gente (en general) ya sabe que "no te metes con los bancos". Esto hace que el sistema de detección sea proactivo (le gustaría autenticar a las personas, pero aún más, realmente preferiría que no intenten mentir en primer lugar).

Una nota conceptual: como dices, "no sabes nada sobre quién está solicitando". Ese es el problema raíz: ¿cómo puede definir una noción de identidad adecuada si no hay nada que identificar (para ser precisos, sabe algo sobre los solicitantes: sus direcciones IP; pero eso no es mucho). De ahí el camino hacia la solución: haga que los solicitantes confirmen alguna información sobre ellos. De esto se trata la solución bancaria explicada anteriormente.

    
respondido por el Tom Leek 25.08.2012 - 00:32
fuente
6

Puedes llevar a cuestas la verificación de identidad de otra persona.

Por ejemplo, para utilizar los procedimientos de verificación de bancos, puede solicitar al usuario un número de tarjeta de crédito que tenga su nombre y dirección de facturación, luego acreditar una pequeña cantidad elegida al azar a esa tarjeta de crédito en la moneda local y preguntarles para informarle cuánto se acreditó como prueba de que tienen acceso a esa cuenta.

    
respondido por el Mike Samuel 26.08.2012 - 22:30
fuente
5

En realidad, una pregunta interesante para ese tipo de sitio. Estaba revisando una solicitud similar donde existía la opción de enviar currículums en línea, incluidas las referencias. Se tuvo que crear un perfil para registrarse en el sitio, pero como todo esto era una dirección de correo electrónico, los controles a su alrededor eran muy limitados. Se señaló que la persona maliciosa 'A' podría enviar el currículum de la persona B con una referencia que señale a su empleador actual. Esto haría que la persona B tuviera problemas con su empleador actual cuando se los contactara para obtener una referencia. No estoy seguro de que haya una buena respuesta porque es parte de una pregunta más amplia sobre la identidad en línea en general, que sospecho que se volverá cada vez más crucial a medida que pase el tiempo. Por ejemplo, ¿necesito registrar mi dirección de correo electrónico con cada proveedor imaginable y una variación de mi nombre para protegerme contra daños a la reputación si alguien más trata de crearme una dirección y la utiliza para fines dudosos? Si en realidad soy [email protected], ¿qué va a impedir que alguien más registre a [email protected] y se haga pasar por mí? Y luego, ¿qué hay de las redes sociales si alguien crea un perfil de Facebook en mi nombre y comienza a poner en él contenido que no está relacionado conmigo?

    
respondido por el Marion McCune 27.08.2012 - 17:33
fuente
3

Puedes verificar a los usuarios con su número de teléfono. El teléfono es uno de los dispositivos de autenticación más utilizados para verificación de identidad . TeleSign ofrece una gama de productos de identificación y autenticación basados en el teléfono. ¿Por qué no navega por su sitio web para familiarizarse con algunos de sus productos? ¡Incluso tienen demostraciones en su sitio web que puedes consultar!

    
respondido por el John White 28.09.2012 - 09:16
fuente
-1

Eso es difícil.

Sé sobre la idea de verificar a un usuario con la ayuda de la forma en que escribe (qué tan rápido escribe y dónde se detuvo, etc.). Existe la teoría de que cada uno tiene su propio estilo al escribir en un teclado como su escritura a mano. Claro, uno podría copiar esto también, pero por lo tanto uno debe saber acerca de esta "característica" primero. (La seguridad por oscuridad es mala, lo sé ... pero vale la pena intentarlo)

¿Entonces tal vez puedas usar la forma en que uno escribe su nombre de usuario como verificación?

Pero nunca puedes estar seguro. :(

    
respondido por el J M. B 28.08.2012 - 16:49
fuente
-3

Tome la foto del solicitante a través de la cámara web utilizando el script action script o silver light y envíela a su servidor con la solicitud presentada.

    
respondido por el ebola virus 25.08.2012 - 05:03
fuente

Lea otras preguntas en las etiquetas