как запретить пользователям создавать несколько учетных записей в бесплатной ежедневной ограниченной службе

Если бы я реализовал такую ​​систему, чтобы иметь только один вход в систему для каждого пользователя или что-то в этом роде, я бы сделал что-то вроде этого:

1: создайте идентификатор машины на основе IP, возможно, используя JavaScript/Java Applet/Flash, вы можете получить MAC или я не знаю, что учитывать. Для простоты предположим, что я вычисляю идентификатор хоста следующим образом:

ID = MD5(PUBLIC_IP) + MD5(LOCAL_IP) + MD5(MAC)

2: Пользователь 1 входит в систему и давайте представим, что я вычислил идентификатор хоста = 666. МЫ ищем таблицу в БД, скажем, table_hosts, которая содержит эти данные (user, host_id)

3: Пользователь 1 использовал все 5 загрузок (отслеживайте их с помощью сеанса или записей из базы данных)

4: Пользователь 1 пытается войти в систему как Пользователь 2, и теперь мы вычисляем идентификатор = 666, тот же идентификатор = 666, мы просматриваем table_hosts и обнаруживаем, что тот же идентификатор хоста использовался в тот день и пользователем 1. Теперь мы можем банить аккаунты с таким ID, давать предупреждения вроде 20% до бана и т.д.

Надеюсь, я смог помочь, но помните, будьте изобретательны, это все, что имеет значение!

LE: Поскольку другие обсуждают общие машины, идентификатор может быть рассчитан следующим образом:

ID = MD5(PUBLIC_IP) + MD5(LOCAL_IP) + MD5(MAC) + MD5(NameOfLoggedOnUser)

Но у этого есть и недостаток, злоумышленник может создать 2 или более учетных записей на своем компьютере. В любом случае, я повторяю, будьте изобретательны, и да, мы не должны забывать, что любой замок можно взломать.

Если бы это был MAC-адрес, переустановка Windows ничего бы не изменила — это аппаратный адрес.

Возможно, они устанавливали cookie с вашего компьютера? Обратной стороной этого является то, что пользователь, очистивший свои файлы cookie, получит открытый доступ.

Даже привязка к одной машине имеет свои недостатки — что, если это общая машина (дома или даже в интернет-кафе).

Вероятно, идеального решения не существует, потому что у вас будут случаи, когда кто-то законно делает что-то, что выглядит изворотливым, и изворотливые люди могут выглядеть законными.

Главный вопрос здесь — найти баланс между контролем и раздражением. Приведет ли больший контроль к большему раздражению ваших пользователей?

Имейте в виду, что у пользователя может быть неудачная загрузка по многим причинам. Вы разрешаете возобновить загрузку или перезапустите ее, не наказывая пользователя?

Вы упоминаете проверку электронной почты и уникальную учетную запись электронной почты как нехорошие. Но не забывайте, что создание новой учетной записи электронной почты только для этой цели является проблемой для большинства пользователей. Так же как и регистрация новой учетной записи даже с существующей электронной почтой. Так что да, некоторые пользователи получат немного больше, чем должны, но будут ли это иметь серьезные негативные последствия для бизнеса?

Если вы хотите, чтобы они платили за дополнительные загрузки, будет два типа. Тем, кто ценит свое время и ненавидит суету. Упростите им задачу, и они с радостью заплатят! Это ваши клиенты, о которых вы хотите заботиться.

Другая группа — это те, кто будет изобретать новые уловки, чтобы не платить, как бы ты ни старался. Вы обнаружите их компьютер? Тогда они пойдут в интернет-магазин со многими другими компьютерами, так что вы ничего не добьетесь. Вы просто ничего не можете сделать против этих пользователей. Но стоит ли переживать?

Итак, в заключение, возможно, попытка облегчить жизнь пользователям, которые готовы платить, стоит больше, чем беспокоиться о тех, кто все равно не заплатит. Вот несколько больше обсуждения удобства использования .

РЕДАКТИРОВАТЬ.

Только что заметил этот ответ, показывающий, что получать поддельные электронные письма даже проще, чем я думал. Однако сколько пользователей узнают об этом сервисе?

Они, вероятно, использовали файлы cookie или IP для отслеживания, и то, и другое легко победить. Как и со всеми проблемами безопасности, это вопрос доступности и безопасности.

Если это действительно, действительно важно, вы можете использовать подтверждение по смс. Это, вероятно, настолько безопасно, насколько это возможно... Но это довольно нетривиальная проблема, особенно с пользователями из других стран. Я бы просто пошел с ведением журнала IP (чтобы вы могли периодически выполнять поиск, чтобы увидеть какие-либо странные закономерности) и куки.

Похоже, что StackOverflow использует Open ID для решения этой проблемы, если не устранить ее.

У меня есть бесплатный сайт, на котором люди регистрируют учетные записи, и у меня были проблемы, похожие на ваши. Я требовал подтверждения электронной почты и регистрировал IP-адреса, но люди всегда найдут способ обмануть систему. Единственное решение — регулярно контролировать свой сайт, чтобы убедиться, что ничего необычного не происходит. У меня был случай, когда три проверенных аккаунта входили в систему с одного и того же IP-адреса всего через несколько минут друг за другом, и все они выполняли одно и то же действие. Я написал одному из пользователей, который пожаловался: «О нет, это просто я, я не понимаю, о чем вы говорите». В конце концов я заблокировал учетную запись этого пользователя, и все три учетные записи одновременно стали неактивными.

У меня также был другой случай, когда кто-то создавал поддельные учетные записи электронной почты, но делал это практически одинаково, каждый раз используя один и тот же пароль и аналогичный адрес электронной почты. Он создавал проблемы на сайте, поэтому я забанил все его аккаунты, и в конце концов он остановился.

Просто наблюдайте и ищите закономерности. Помимо того, что это действительно сложно, это почти все, что вы можете сделать.

Удачи!