Как запретить массовую регистрацию с одного устройства?

Question

[Aljo]

Здравствуйте!
Есть сайт на самописном PHP-движке. При регистрации на сайте пользователю выдаются всякие бонусы и плюшки.
Какие есть методы защиты от массовой регистрации с одного устройства?
Поделитесь пожалуйста опытом. Мне не нужен код и тд, просто бы узнать, в сторону чего копать, какие методы использовать. решения и тд.

Comments

[Алексей Дубровин]

Гугл?

[Aljo]

Алексей Дубровин, компания, входящая в состав холдинга Alphabet

Answer 1

[Надим]

Этих трех мер будет достаточно:
1) Ограничить частоту регистраций с одного IP адреса.
2) Ограничить частоту регистрации для одного отпечатка.
3) Использовать Google Recaptcha v3 для определения ботов.

Comments

[pantsarny]

дополнил бы что стоит рассматривать диапазоны айпи
также запретить регистрацию с tor айпи

[pantsarny]

ну и еще KYC или биометрия

[Sanes]

Добавьте списание с карты, чтобы наверняка.

[maksam07]

Перед регистрацией, сделайте загрузку сканов паспорта

[Надим]

Задачу регистрации также можно делегировать внешнему сервису, например, предложить пользователю вход через ВКонтакте, GMail и так далее. Данные сервисы обычно требуют телефон для регистрации.

Answer 2

[Sanes]

ClientJS. Но это не спасёт от целенаправленной атаки.

Comments

[Aljo]

т.е. в принципе кто захочет, тот так и так будет массрегать. Тогда самый простой путь видимо записывать при регистрации за юзером ключ = md5(IP и user-agent)

[maksam07]

Aljo, эти данные меняются довольно просто

[Sanes]

Aljo, здесь вопрос в цене, которую вы готовы заплатить.

Answer 3

[HardBot]

ip, подтверждение по почте, капча, регистрация только по номеру телефона

Comments

[Aljo]

Только по номеру не получится, отказались от этой идет. IP тоже не вариант, могут прокси или vpn юзать или сидеть на одном роутере. А как поможет капча от массрегов?

[Dimonchik]

Aljo, а мыл почему пропустил? ))))))

[Денис Сепетов]

Aljo, капча увеличит время регистрации. То есть если регистрацию кто-то автоматизировал и учётки создаются ботом, то он даже при распознавании капчи не будет успевать создавать 100 учёток в секунду.

От ручной регистрации (из-за бонусов и плюшек) это, конечно, почти не спасёт. Люди не любят повторно регистрироваться, но если плюшки - это настоящие блины, то люди пойдут на всё :-)

[Sanes]

Денис Сепетов, талибы решают задачу с капчей за 3 копейки.
Опять же, от целенаправленной атаки не защищает.

[Aljo]

HardBot, гениальный совет, уже решили задачу