如何防御多账户用户？

Question

我们有一项服务，我们实际上是免费赠送的。

当然，服务已经成熟，可以滥用。为防止这种情况，我们采取以下措施：

• log ip address

• 使用唯一的电子邮件地址（只有1个帐户/电子邮件地址）

• 收集更多信息，例如圣。地址，电话号码等

• 使用注册验证码

• BHO（我见过扑克室使用这些）

现在，让我们在这里实现 - 没有这个会阻止一个坚定的用户。

显然，IP地址可以通过代理（可以通过akismet列入黑名单）进行更改，但如果用户有动态IP或者如果有多个用户在NAT'd网络后面，则无论如何都会改变（我们能说几乎所有人吗？ ）

我每小时可以注册数千个独特的电子邮件地址 - 这不是防御。

我可以从街道地址和电话号码列表中提取虚假信息。

我可以通过验证码解决服务购买验证码（1k只需5美元）。

bhos似乎只对可下载的软件有效 - 这是一个网站

有哪些其他方法可以防止多个用户滥用该服务？所有PPC人员如何控制点击欺诈？

我知道我们实际上可以打电话给那个人，但我认为我们不会在短期内尝试这样做。

谢谢，

Answer 1

生成大量可以发送和接收短信的假电话号码非常困难。短信验证可以大大减少欺诈行为。当然，它也限制了你向手机用户赠送免费资金。

Answer 2

我认为唯一的办法就是将您的用户帐户绑定到“真实世界”的信息，例如他/她的护照号码。当然，您需要确保信息安全存储并找到一些方法来验证它。

Answer 3

Re：注册新的电子邮件帐户......

用户甚至不需要这样做。请随时将您的邮件发送至brian_s@mailinator.com或feydr.asks.a.question@spamherelots.com，或stackoverflow@safetymail.info或my_arbitrary_username@zippymail.info。我没有注册任何这些电子邮件地址，但所有这些都可以使用。

这些域名归ManyBrain所有，他们（也可能是其他域名）将域名设置为接受任何电子邮件用户。特别是ManyBrain使这些电子邮件的收件箱可以在没有任何注册的情况下公开访问（通过电子邮件删除所有内容并删除旧邮件）。看看：admin@mailinator.com's email inbox！

其他人已经提到了尝试保持用户身份唯一的方法。这只是不信任电子邮件地址的另一个原因。

Answer 4

首先，我想（希望）你不会实际上放弃免费的钱，而是让它使用你的服务或类似的东西。

重要的是，尝试从您那里获得免费资金的用户之间存在巨大差异，他们可以花费购买昂贵的汽车，而只花费在您的服务上，这将更加有限。

显然，更多的用户会试图欺骗前者的系统，而不是后者。

为什么重要？因为它完全取决于您的控制与用户烦恼之间的平衡。我看到许多答案集中在控制部分，所以让我们烦恼，是吗？

• 记录IP地址。如果我是互联网商店的电脑上的下一个人，而我之前的那个人已经使用过那个IP怎么办？另一个人离开了我现在看到的热门页面，但我被搞砸了，因为IP被阻止了。是的，我可以去另一台电脑，但这很麻烦，我可能还有其他事情要做。

• 收集实物地址。为了什么？？？你要去拜访我吗？或者开始给我发垃圾邮件？让我猜一下，通常情况下，你会得到最糟糕的错误地址和最坏的错误地址。事实上，我给你提供虚假地址并且不处理任何可能以环保方式回收的垃圾信件要麻烦得多。 ：）

• 收集电话号码。同样，我为什么要相信你的网站？这是真实的故事。我把我的手机给了晦涩难懂的网站，后来我开始偶尔收到一些充满废话的消息，比如“点击飞行”。我只是删除了。只是后来偶然发现我实际收取2欧元才收到这些消息！我想要解决那些麻烦吗？显然不是！所以不，伙计，抱歉令人失望，但我不会给你的网站我的电话号码，除非你的公司被称为Facebook或谷歌。 ：）

• 使用注册验证码。我喜欢那个 ：）。那么我们在这里想要实现什么目标呢？决定滥用您服务的用户是否有问题要输入几个验证码？我对此表示怀疑。但那个“好用户”呢？你知道许多用户有多烦人的验证码???那些视力受损的用户呢？但即使没有它，大多数验证码都是如此糟糕，以至于它们让你觉得你的视力受损！我能给出的最佳建议 - 如果您关心用户体验，请避免将验证码作为瘟疫！如果您有任何疑问，请先进行在线调查！

请点击此处more discussion about control vs annoyance和here some more thoughts了解用户友好情况。

Answer 5

正如鲁本斯所说，你必须将他们的信息绑定到“现实世界”。当然，您还需要能够验证这些信息（如果您不检查以确保它们是正确的，我可以整天编写护照号码。）

你如何交钱？也许你可以通过paypal帐户，邮寄地址或者你要汇款的任何东西来索引这个？

Answer 6

有时候防止人们滥用系统的唯一方法就是首先没有系统。

如果你正在按照自己的意思行事，“向人们赠送钱财”，那么令人惊讶的是，会有很多人有更多时间可以尝试找到比你更好的游戏方式必须解决它。

Answer 7

我想永远不可能有一个识别假身份的识别系统：

• 便宜的运行（我认为它被称为“运营成本”？）
• 实施起来便宜（理想情况下一次性成本 - 你怎么称呼它？）
• 没有Type-I/Type-II errors
• 是可扩展的

但我认为你可以阻止用户拥有太多（比如一个相当随机的数字：超过50个）帐户。

您可以结合以下方法：

• IP地址：可以通过VPN绕过
• CAPTCHA ：可以绕过人类农场（例如，见this article - 虽然他们声称他们的测试不能轻易传递给其他人，但我怀疑这是真）
• 基于能力的识别：当您知道存储的内容以及识别如何通过随机（但具有给定的分布）起作用时，可以伪造（例如：brainauth.com）< / LI>
• 真实世界的互动：虽然这可能是最好的，但我想它很昂贵而且很多用户都不会接受它。此外，对于某些用户/国家，可能无法实现。 （例如：Postident在德国，邮政希望看到你的身份证。我想这只能由政府大规模面对。）
• 其他网站/资源：这基本上改变了其他网站的问题。您可以使用服务，在不允许/不常见/昂贵的情况下，拥有多于一个帐户
  • 电子邮件
  • 电话号码：例如使用短信，请参阅Multi-factor authentication
  • 银行帐户：PayPal;转移不多钱或要求他们将随机（小）金额转移给您（您将寄回）。
• 基于社交
  • 当您使用社交图（顶点是人，边是连接）时，您会看到一些分布。你知道你是一个人，你知道其他人。所以你有一个“信任网络”（在引号中，因为我认为这也可能在其他上下文中使用）。现在，您可能不相信人/网络如何与您的服务进行大量交互，但要么是孤立的（没有连接），要么是将大组与另一个大组连接起来（“清晰点”）。您也可能不相信快速增长，大量互动的新孤立图。
  • 当用户提供许多其他用户（您信任的人）喜欢的内容时，这可能表明有一个真正的人在创建它。