¿Cómo puedo hacer que sea más difícil para un usuario crear múltiples cuentas?

No hay una manera efectiva de evitar que un atacante dedicado cree varias cuentas. No importa lo que hagas, el atacante aún podrá crear varias cuentas de "títere de calcetín". Lo mejor que puedes hacer es aumentar el costo de crear cuentas adicionales.

Un enfoque es exigir al usuario que proporcione un número de teléfono móvil, autenticar el número de teléfono del usuario (llamándolo, diciendo un código de autenticación aleatorio y haciendo que el usuario ingrese el código de autenticación en el sitio web, como Google Voice hace). Luego, puede asegurarse de que cada número de teléfono móvil esté vinculado como máximo a una cuenta. Esto no impide que se creen varias cuentas (por ejemplo, un atacante aún puede comprar varios teléfonos desechables), pero aumenta los costos del atacante y podría ser suficiente para convencerlo de molestar a otra persona. La desventaja es que evita que algunas personas utilicen su sitio, por ejemplo, si no tienen un teléfono móvil o si no están dispuestos a compartir su número de teléfono con usted (es probable que la gente se muestre reacia a compartir su número de teléfono móvil). con un sitio con el que aún no tienen una relación de confianza muy buena).

Otro posible enfoque es exigir al usuario que se autentique con una cuenta de Facebook y que confíe en Facebook para verificar la singularidad. Esto también está lejos de ser perfecto: la gente todavía puede crear cuentas de Facebook falsas. La desventaja es que requerir que las personas inicien sesión a través de Facebook puede impedir que muchas personas usen su sitio y es perjudicial para la privacidad . No es amigable para las personas que no quieren iniciar sesión con Facebook, no usan Facebook o no quieren compartir su información de Facebook con usted.

Consulte también ¿Cómo evitar el engaño (votos adicionales) en concursos en línea? para obtener más información sobre una variedad de mitigaciones.

Para complementar la excelente respuesta de D.W. ...

No puede leer la dirección MAC de un cliente a través de un enrutador. Una dirección MAC se puede cambiar fácilmente (es tan fácil que ni siquiera conserva el epiphet 'falsificado').

Un agente de usuario del navegador no es único y, de nuevo, trivial para cambiar.

El único 'Nombre del equipo' que verá al final del servidor es el registro PTR de DNS para la dirección IP; por lo tanto, vea la discusión sobre la dirección IP.

La dirección IP puede ser falsificada. Difundir una dirección IP a través de un flujo TCP enrutado sin tener acceso a los enrutadores es difícil, sin embargo, una gran proporción de usuarios en Internet obtienen direcciones IP temporales de un grupo, y un volumen creciente de usuarios compartirá una dirección IP. El uso del nombre de red del registro whois puede ayudar a identificar a un usuario a través de diferentes direcciones IP, pero usarlo por su cuenta dará una gran cantidad de falsos positivos.

Es posible que desee ver esta publicación en mi blog hablando de las huellas dactilares del navegador y los enlaces a otras fuentes, particularmente evercookie sin embargo, tenga en cuenta que este enfoque se basa en subvertir el modelo de seguridad del navegador.

El uso de un FSM basado en cookies y una prueba de Turing ayudará a asegurar que haya un ser humano sentado en el extremo remoto, evitando así la votación de bots.

Intentaría hacer de las cuentas múltiples una alternativa menos atractiva que tener una sola cuenta. ¿Es posible que los usuarios hayan acumulado privilegios como SO a través de un buen comportamiento (las nuevas cuentas tienen poco privilegio pero pueden hacer muy poco) para que el efecto de la prohibición sea perder todos los privilegios? Posiblemente solo hagan prohibiciones silenciosas, por lo que los usuarios prohibidos no son conscientes de que han sido prohibidos, ¿pero nadie más ha visto su actividad?

Si tiene que prohibir a un usuario y quiere identificarlo de alguna manera, dependería principalmente de la dirección IP, reconociendo que (a) los usuarios inteligentes tendrán múltiples direcciones IP y (b) podrían compartir direcciones IP con usuarios no prohibidos usuarios

No usaría las huellas dactilares del navegador como panoptclick.com (trivial para cambiar la huella dactilar; por ejemplo, usar un navegador diferente (firefox / chrome / opera / konquerer / safari / IE) o una computadora, cambie su cadena de agente de usuario ; instale / desinstale fuentes / complementos).

No usaría evercookie: se evita fácilmente cambiando computadoras o máquinas virtuales y de alguna manera no es ético.

También es posible que desee implementar una solución para los usuarios que afirman que su dirección IP ha sido prohibida y que nunca han utilizado mal su servicio. Por ejemplo, hoy el 100.101.102.103 se asigna al usuario A que fue bloqueado por su ISP, mañana se asigna al usuario B que es bueno y no debería ser prohibido (especialmente para dispositivos móviles). O comparte un enrutador wifi con varias personas en un apartamento que desean cuentas separadas, pero todas parecen tener la misma dirección IP en su cuenta (por ejemplo, su enrutador usa NAT).

Recuerde, los sitios web operan en TCP. Por lo tanto, no es trivial falsificar una dirección IP; su dirección IP es como una dirección de correo electrónico: contiene información de enrutamiento y TCP requiere un saludo de ida y vuelta antes de enviar información como una solicitud GET / POST de una página web. Entonces, si bien es fácil mentir durante el paso inicial de un protocolo de enlace TCP y decir que estoy en una dirección IP falsa que reside en California en lugar de en su dirección IP real en Nueva York, los paquetes terminarán siendo enviados a alguna computadora en California en lugar de la suya en Nueva York y como nunca verá las respuestas de los servidores, no podrá completar el protocolo de enlace y hacer la solicitud (a menos que controle la computadora en California (o un enrutador intermedio) y reenvíe los paquetes a su Computadora o termine adivinando el entero correcto de 32 bits (1 en 4 mil millones de posibilidades) del servidor).

Concedido, cuesta menos de ~ $ 5 obtener legítimamente otra dirección IP para configurar un proxy y la mayoría de las personas con conocimientos de tecnología ya tienen varias direcciones IP que podrían usar. Pero se vuelve menos conveniente para ellos hacerlo.