¿Cómo suspender a un usuario de mi sitio web y evitar que creen una segunda cuenta?

Navega tus respuestas
9

Soy una persona de outsourcing, no un programador. Mi sitio web es un sitio web de compras (piense en eBay). Mi sitio web necesitará una función de suspensión del usuario, en caso de que un usuario viole los términos y condiciones. El problema es detectar usuarios que crean una segunda cuenta. He aquí algunas formas en las que he pensado:

  • seguimiento de direcciones IP
  • Información del usuario (dirección de correo electrónico o cualquier información que se repita la segunda vez que se registra, después de la suspensión)
  • las cookies de identificación de sesión también son una forma de identificar a los usuarios después de iniciar sesión

¿Alguna idea más creativa sugerida? ¿Es posible que sea 100% imposible evitar que esos usuarios malos (fraudes, spammers) vuelvan?

    
pregunta ahmed amro 25.10.2012 - 03:41
fuente

4 respuestas

8

No hay forma de evitar los registros múltiples.

Tengo dos sugerencias para ofrecer

  1. No es deseable realizar varios registros, por ejemplo, cobrando una tarifa.

  2. Externalice el problema de identidad a otra persona, por ejemplo, si utilizo el inicio de sesión de Facebook o Google en lugar de hacer rodar el suyo.

respondido por el ddyer 25.10.2012 - 04:29
fuente
6

No, dado que la mayoría de los usuarios provienen de grandes ISP, sus IP no son fijas para siempre, los nombres que le dan no están fijados

La seguridad no es un problema en blanco y negro, aunque parece que muchos no parecen entenderlo, es una cuestión de hacer que el costo de derrotarlo no valga la pena la recompensa

En el escenario general que estás describiendo, el captcha podría ayudar (para los estúpidos que los derrota), para los más sofisticados, puede que no les importe perder los ciclos de la máquina, al menos para los spammers.

el correo electrónico no te hará ningún bien, soy un buen tipo y todavía tengo una cantidad excesiva de cuentas de correo electrónico, y es muy fácil obtener más en estos días

resumiendo, deje de buscar una solución en blanco y negro; en su lugar, busque una solución en la que los costos para los usuarios legítimos sean aceptables, pero los costos no son aceptables para la recompensa dada para alguien que invalida sus garantías

y tome una página del mundo de desbordamiento de pila: la reputación es algo que puede vincular a las cuentas, entonces al menos tiene una forma de "calificar" a los usuarios

    
respondido por el Mark Mullin 25.10.2012 - 04:08
fuente
3

Puede evitar el registro múltiple aumentando su prueba de identidad (consulte OMB M-04-04 ). Por supuesto, al hacerlo, el registro ahora es mucho más difícil para sus clientes legítimos. Entonces, si bien puede evitar el registro múltiple, probablemente no quiera hacerlo. (Tenga en cuenta que no estoy sugiriendo seriamente que actualice su prueba de identidad. El aumento de la prueba de identidad responde a la pregunta específica que hizo, pero no creo que sea una solución práctica para su problema).

Creo que su verdadero desafío es diseñar un sistema de registro que desaliente a los usuarios fraudulentos pero que sea relativamente transparente para los usuarios legítimos. Si estuviera en tu lugar, probablemente te sugeriría la sugerencia de Mark Mullin de que vincules alguna reputación a la cuenta con la identidad federada . La identidad federada significa que no se registran usuarios; les permite utilizar las credenciales generadas por un tercero. Por ejemplo, uso mis credenciales de google para iniciar sesión en el intercambio de pila. El "cómo" en la identidad federada es un poco más complicado de lo que creo que es apropiado en una respuesta de Stack Exchange, pero es posible que desee consultar sitio de Google Relying Party . Dos de las implementaciones principales son OpenID , y Shibboleth , y sé que ha publicado numerosos artículos sobre "cómo hacerlo", incluidos ejemplos de código (el último enlace es a su perfil de G +; no tengo una mejor manera de contactarlo).

Creo que hay mucho mérito en la sugerencia del Sr. Mullin de que crees una reputación y la vincules a la cuenta del usuario. Asigne un puntaje de reputación basado en la cantidad de transacciones en las que el usuario ha participado, o el valor total de las transacciones, o como eBay, en los comentarios de otros participantes en la transacción.

Y para repetir el comentario de otra persona, no, no es posible hacer un sitio web 100% seguro. Ese es un principio fundamental de la seguridad; Lo mejor que puede esperar es mitigar el riesgo a un nivel aceptable. Si realmente está haciendo un diseño de seguridad para un sitio web que involucra transacciones monetarias, le recomendaría que obtenga un arquitecto de seguridad. La seguridad es complicada. Su arquitecto de seguridad necesita tener muchos conocimientos fundamentales que no pueden ser recogidos a través de búsquedas en Google. Si está realizando transacciones monetarias sin un arquitecto de seguridad, está exponiendo a su empresa a un riesgo considerable. El riesgo de perder dinero, el riesgo de ser demandado por clientes que han perdido dinero o datos personales, y posiblemente una responsabilidad penal, según el lugar donde se encuentre. Esto no es algo que se pueda aprender a través de un mes de investigación en Internet.

    
respondido por el Mark C. Wallace 25.10.2012 - 12:41
fuente
1

Hay una forma en que puede hacer que sea extremadamente difícil para un usuario volver a registrarse más de un cierto número de veces sin interrumpir el registro legítimo del usuario. Solo sigue el dinero ...

Como sitio web de compras, sus usuarios deben usar algún tipo de sistema de pago. Si están ingresando su información financiera en su sistema (sin utilizar un tercero como PayPal), puede prohibir su información de crédito / débito / cuenta bancaria. Tendrá que hacer que la información financiera sea obligatoria como parte del proceso de registro de usuarios, pero Apple hace lo mismo con la tienda de aplicaciones, por lo que no es probable que se perciba como una carga excesiva para los usuarios legítimos.

Ahora, un usuario malvado solo puede registrarse una vez por cada cuenta de pago que tenga. Si comienzan a cambiar constantemente sus números de cuenta abriendo y cerrando tarjetas o cuentas, se arriesgan a atraer atención no deseada de las instituciones financieras o reguladores.

    
respondido por el RajanPB 25.09.2014 - 06:24
fuente

Lea otras preguntas en las etiquetas

¿Puede una VPN evitar el programa de vigilancia Prism? ¿Puedo usar el hash SHA-512 como clave AES?