¿Cómo puedo proteger mi servicio "pruébelo con un solo clic"?

Navega tus respuestas
2

Tengo un servicio con la experiencia "pruébelo ahora" que actualmente ofrece un esfuerzo de "un clic".

Este servicio tiene un grupo de N recursos (digamos 50).

Cada nuevo recurso tarda aproximadamente 1 hora en generarse.

¿Cómo se puede proteger este servicio de un usuario malintencionado para vaciar mi conjunto de recursos?

Hemos circulado algunas sugerencias, pero hasta ahora nada parece resolver el problema:

  • Uso de la validación de correo electrónico (los correos electrónicos se pueden falsificar fácilmente hoy, por ejemplo, con yopmail)
  • Usando un inicio de sesión externo (Google, Facebook, etc.) - nuevamente, los usuarios pueden abrir tantas cuentas como quieran.
  • Limitación de la solicitud de IP: las IP se pueden cambiar fácilmente.
  • Los servicios como Incapsula o Cloudflare realmente no pueden ayudar en este escenario.
  • Captcha no tendrá ningún efecto

Los candidatos serios tienen serias implicaciones de experiencia de usuario y no parecen ser sostenibles, como llamar a cada usuario que quiera ejecutar la demostración y hablar con ellos, y luego pasarles algún enlace manualmente.

quizás el uso de la validación de correo electrónico con algún tipo de lista negra de correo electrónico por expresiones regulares (por ejemplo, .*@yopmail.* ) puede hacer el trabajo.

¿Cuál es la forma correcta de abordar este escenario?

    
pregunta guy mograbi 28.08.2014 - 23:27
fuente

1 respuesta

1

Primera idea: utilice SMS o llamadas telefónicas automatizadas para dar una contraseña de un solo uso. Ponga su número de teléfono en la lista negra después de esto. Puede usar cualquier servicio de nube de autenticación de SMS o cualquier servicio de nube de autenticación basado en teléfono para esto. Obtener una nueva tarjeta SIM móvil o número de teléfono es demasiado incómodo para que un usuario obtenga otro recurso gratuito.

Sin embargo:

Esta es una pregunta con la que luchan muchas empresas. La mayoría de las empresas resuelven esto simplemente requiriendo configurar un método de pago para probar el servicio. Supongo que quiso decir que el primero es gratis y el resto cuesta dinero.

Luego simplemente haces eso para obtener la primera tarjeta gratis, tienen que ingresar su número de tarjeta de crédito, como tendrán que pagar. Luego puede indicar que su número de tarjeta de crédito tiene el primer recurso gratuito. La próxima vez que prueben con la misma tarjeta de crédito, serán cargados.

Por supuesto, de acuerdo con PCI DSS, no se le permite almacenar PAN sin formato. Sin embargo, cuando utiliza un servicio de pago externo, no necesita preocuparse por las PCI DSS, y muchas veces tendrá que mantener una versión ofuscada del número CC, como por ejemplo:

1234 5678 **** 1234

por lo tanto, todavía puede identificar a los usuarios que regresan. Simplemente lo hará debitando al usuario el precio total del servicio (ya que el proveedor de pago externo cargará todos los CC ingresados con el precio que los superó, incluso si es un usuario gratuito). Pero si es un usuario gratuito, su sistema detectará que el CC confuso es "desconocido" e inmediatamente procesará un reembolso, lo que hará que el dinero vuelva a la cuenta de los usuarios en una semana. Asegúrese de informar que el dinero se retirará temporalmente de la cuenta cuando obtenga el servicio gratuito.

La mayoría de las empresas utilizan este método, incluso las grandes empresas como Netflix, spotify y Google, para evitar que las personas tengan varios meses gratis. Muchos proveedores de VPN también utilizan este método para evitar que los usuarios adquieran varias cuentas de prueba.

Obtener tarjetas nuevas de su proveedor de CC cuesta dinero en la mayoría de los casos, y es más costoso y engorroso para el usuario (con el fin de obtener más tiempo de prueba gratuito) que pagar el servicio.

    
respondido por el sebastian nielsen 31.08.2014 - 04:41
fuente

Lea otras preguntas en las etiquetas

¿Qué significa poner a cada suscriptor de ISP en una subred de su propia media? ¿Cuáles son los riesgos de proteger una API con una sola clave (sin secreto)?