@reasoni

Как защититься от передачи пользователями аккаунтов третьим лицам?

На ресурсе N существует следующая тенденция, пользователи добровольно передают данные для авторизации третьим лицам. Которые проходят за первых задания, тесты и проч. Как этого можно избежать? Какие меры можно предпринять, чтобы по возможности предотвращать подобные практики?
Ничего толкового по данной тематике нагуглить не получилось.
На ум приходят различные защиты от угона аккаунтов, когда на сайте ограничивается, или усложняется доступ к своему аккаунту из других стран. Может быть есть статьи про подобные алгоритмы?
Как подобное можно реализовать технически?
  • Вопрос задан
  • 2701 просмотр
Пригласить эксперта
Ответы на вопрос 5
gbg
@gbg
Любые ответы на любые вопросы
А никак. Потому как всегда найдется банальный способ все это обойти - передающий выполняет логин сам, после чего отдает управление компьютером напарнику.

От добровольного "угона" вас ничто не спасет.
Ответ написан
Комментировать
AlekseyNemiro
@AlekseyNemiro
full-stack developer
1. Страшное пользовательское соглашение, где будет сказано, что за добровольную передачу своей учетной записи третьим лицами, запись может быть блокирована и безвозвратно удалена.

2. Привязка к номеру телефона и вход с подтверждением по SMS.

3. Сделать обязательным указание паспортных данные, которые будут доступны пользователю в профиле (лично). Возможность обновлять только через проверку модератором. Тогда пользователь несколько раз подумает, прежде чем добровольно передавать свои учетные данные кому-либо. Но придется и со стороны проекта усиливать меры безопасности, юридически в том числе. Проверить достоверность паспортных данных можно на сайте ФМС.

Но это лишь усложнит процесс работы с сайтом. Все равно будет возможность выполнять задания чужими руками, даже если это придется делать в режиме реального времени по Skype.
Ответ написан
Комментировать
@Souvel1
Web-программист. Разрабатываю на WordPress.
Статей таких не знаю, но вот мои размышления:
У 1 пользователя не так много мест, откуда он мог бы заходить на ресурс N, их примерно 3 (дом / работа / плашнет, мобильный телефон). Соответственно фиксировать эти 3 места и если пользователь пытается зайти с другого места, то запрещать вход, без протекции по E-mail, телефону.

Так же современные браузеры поддерживают local.storage туда записывать какое-то уникальное значение и проверять его, в случае не совпадения блокировать авторизацию.
Ответ написан
Вы можете привязать пользователя к его машине, считав все характеристики, которые только можно считать (браузер, ОС, и т.п.). Далее зашифровать все в хэш, и сохранить в БД + куки. Минус такого подхода очевиден - при попытке войти с другого ПК доступ будет запрещен, но это можно обойти, разрешив пользователям прикреплять устройства в своем личном кабинете.

P.S. помнится, читал на хабре статью про подобный железобетонный способ идентификации, но за давностью дела не могу найти...
Ответ написан
Комментировать
Spetros
@Spetros
IT-шник
Очевидно, проводить тесты в специально отведенном помещении на своей технике с обязательной проверкой личности сдающего т.е. перенести вашего пользователя из виртуального пространства в реальный мир.

А от виртуальной подмены не защититься, можно лишь усложнить процесс.
Предположим сделали супер навороченную систему проверок, а дружок вашего жулика вместо него по какому-нибудь радмину сдает...
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы