Как защититься от передачи пользователями аккаунтов третьим лицам?

Question

[reasoni]

На ресурсе N существует следующая тенденция, пользователи добровольно передают данные для авторизации третьим лицам. Которые проходят за первых задания, тесты и проч. Как этого можно избежать? Какие меры можно предпринять, чтобы по возможности предотвращать подобные практики?
Ничего толкового по данной тематике нагуглить не получилось.
На ум приходят различные защиты от угона аккаунтов, когда на сайте ограничивается, или усложняется доступ к своему аккаунту из других стран. Может быть есть статьи про подобные алгоритмы?
Как подобное можно реализовать технически?

Answer 1

[Армянское Радио]

А никак. Потому как всегда найдется банальный способ все это обойти - передающий выполняет логин сам, после чего отдает управление компьютером напарнику.

От добровольного "угона" вас ничто не спасет.

Answer 2

[Алексей Немиро]

1. Страшное пользовательское соглашение, где будет сказано, что за добровольную передачу своей учетной записи третьим лицами, запись может быть блокирована и безвозвратно удалена.

2. Привязка к номеру телефона и вход с подтверждением по SMS.

3. Сделать обязательным указание паспортных данные, которые будут доступны пользователю в профиле (лично). Возможность обновлять только через проверку модератором. Тогда пользователь несколько раз подумает, прежде чем добровольно передавать свои учетные данные кому-либо. Но придется и со стороны проекта усиливать меры безопасности, юридически в том числе. Проверить достоверность паспортных данных можно на сайте ФМС.

Но это лишь усложнит процесс работы с сайтом. Все равно будет возможность выполнять задания чужими руками, даже если это придется делать в режиме реального времени по Skype.

Answer 3

[Никита Souvel]

Статей таких не знаю, но вот мои размышления:
У 1 пользователя не так много мест, откуда он мог бы заходить на ресурс N, их примерно 3 (дом / работа / плашнет, мобильный телефон). Соответственно фиксировать эти 3 места и если пользователь пытается зайти с другого места, то запрещать вход, без протекции по E-mail, телефону.

Так же современные браузеры поддерживают local.storage туда записывать какое-то уникальное значение и проверять его, в случае не совпадения блокировать авторизацию.

Comments

[Billy Milligan]

пфф, ну возьмут они сервак в России и будут все через один ip сидеть.
А Local Storage можно и скопировать.

Это всё лишь увеличит время на поиски обхода.

[Никита Souvel]

Ну всё можно взломать и поделать при большом желании... Просто есть средства, которые замедляют. И здесь в вопросе не сказано про прогерские навыки пользователей, здесь больше похоже на перепродажу труда... И кто говорил про IP? Я говорил о полном слепке, который можно получить от пользователя, такие как браузер, ОС и т.д. кстати КРОМЕ IP т.к. почти у всех он динамичный и по сути никак не влияет на вход пользователя, это лишь добавит гемороя.

Answer 4

[Алексей Николаев]

Вы можете привязать пользователя к его машине, считав все характеристики, которые только можно считать (браузер, ОС, и т.п.). Далее зашифровать все в хэш, и сохранить в БД + куки. Минус такого подхода очевиден - при попытке войти с другого ПК доступ будет запрещен, но это можно обойти, разрешив пользователям прикреплять устройства в своем личном кабинете.

P.S. помнится, читал на хабре статью про подобный железобетонный способ идентификации, но за давностью дела не могу найти...

Answer 5

[Spetros]

Очевидно, проводить тесты в специально отведенном помещении на своей технике с обязательной проверкой личности сдающего т.е. перенести вашего пользователя из виртуального пространства в реальный мир.

А от виртуальной подмены не защититься, можно лишь усложнить процесс.
Предположим сделали супер навороченную систему проверок, а дружок вашего жулика вместо него по какому-нибудь радмину сдает...