« Консерваторы | Main | Стартап-турнир от Амазон »

авг. 11, 2010

Comments

Feed You can follow this conversation by subscribing to the comment feed for this post.

Это проблему давно решили порнушники. Можно у них спросить:)

Ловить одновременную работу с двух клиентов (разные ай-пи, куки, и, возможно, юзерагенты). И блочить аккаунт. Или пригрозить заблочить если повторится. По расписанию будут работать уж совсем замороченные.

Плюс геобазу можно заюзать, если заморачиваться. "Что это вы, уважаемый, сейчас из Москвы, а полчаса назад из Сыктвкара?"

Два противоположных варианта:

1. "Задолбать". Раз в месяц при входе в систему заставлять "из соображений безопасности" менять пароль.

Через какое-то время все сопользователи просто устанут оповещать друг друга о новом пароле (особенно если они не все знают друг друга, а связаны исключительно через официального владельца). Или официальному владельцу надоест, что он денежку заплатил, а сам не может войти, потому что кто-то другой сменил за него пароль.

Формализация: делать какое-то действие, которое одному пользователю делать ненапряжно, а в идеале даже привычно; а шаренной группе пользователей - сложно. Трудоёмкость которого возрастает в идеале экспоненциально с ростом группы.

@desu смс-ки будут приходить. После ввода логина-пароля сервис высылает смс, код из которой нужно ввести на сайте, после этого логин считается законченным.

Расширяем вариант одноразового кода :

Первый вариант:
При логине выдается код, который надо вставить в сообщение в твиттере, вконтакте(в статусе) например.
Код генерить не опираясь на пару логин-пароль, внутренним алгоритмом.
Дальше сервис идет на твиттер-страницу пользователя, парсит последние 5-10 сообщений пользователя и ищет среди них нужный код.

Второй вариант:
Аська или jabber

При логине дается код, который надо отправить icq или jabber боту.

Единственная и самая большая проблема:
пользователи могут создать фейковый акк и в твиттере и вконтакте и в других сервисах, которые можно было бы использовать. И расшаривать этот акк на друзей.

Почему мы не выкладываем логин и пароль от своей почты в блоги? Потому что у нас по этому логину-паролю лежит конфиденциальная информация. Потому что не хотим, чтобы кто-то писал письма от нашего имени.

Так и здесь. Если за логином-паролем спрятан не только сервис, но и какая-то конфиденциальная информация, или возможность выполнять действия от чужого имени люди Не Захотят выкладывать их на форуме.

К сожалению, данное решение подойдет не для всех сервисов.

Почему нельзя ограничить физически: один аккаунт - одна сессия? Пользователь не будет выкладывать в сеть свои логины, т.к. не захочет, чтобы его самого выкидывало / не пускало.

С смсками - анальное рабство. Никогда бы не стал пользоваться подобным сервисом при наличии хоть какой-то альтернативы. У меня, например, три компьютера. Мне три смски слать? Я лучше перепишу с карточки одноразовый пароль.

Психологический способ: нужно чтобы при логине были видны какие-либо приватные данные пользователя, которые тот бы ни при каких обстоятельствах не хотел открывать кому-либо. Например кредитная карточка или еще что.

The comments to this entry are closed.

My Photo

Поиск по блогу