Как блокировать множественных пользователей с одного аккаунта?

Question

[IdFox]

Всем привет
Подскажите алгоритм решения задачки
Имеем сайт с уникальной информацией, информация закрыта подпиской
Предоставляется доступ на 1 месяц на аккаунт, кто купил этот доступ, все просто
Уже не первый раз видим как под одним аккаунтом сидит много разных людей
Ну т.е ладно 2-4 человека, еще не критично, но уже видно что и по 10 человек разных
Это конечно догадки конечно же, но хотелось бы более четкой доказательной базы
Как сейчас делается - смотрим три параметра
1) IP пользователя
2) Версия браузера пользователя
3) География IP (на уровне региона)
Понятно, что например если (3) с разбросом по всей России или миру тут один чел через множественные прокси или что скорее всего - разные реальные пользователи
Но когда например регион это Москва + область тут уже никакой конкретики нет...
Только на IP+браузер и их сочетания смотреть и гадать на чайной гуще...
Думали привязку по SMS сделать, но вирт. номера в продаже всегда есть
Проверочный код на SMS или мыло слать при подозрении - ну тоже можно эту информацию передать друг другу (ну т.е только если затруднить доступ)
Вот как можно отследить такое поведение пользователей или хотя бы максимально его усложнить?
Спасибо за любые подсказки

Comments

[Lander]

Вариант запретить одновременный доступ с двух разных ip + useragent - не рассматриваете? Просто в таком случае они сами не захотят делиться своим аккаунтом, потому что не смогут в него попасть.

[IdFox]

Вариант этот думали
Но статьи на сайте не так часто выходят
Т.е одна две в сутки, чаще реже
Прочитать и потом в принципе можно

Answer 1

[Vladimir S]

если доступ платный - то блокировать пользователя при подозрениях, и пусть доказывает что это он заходил.
с другой стороны - если он оплатил доступ/контент - то формально может использовать (просматривать) его как угодно (с любых ип/браузеров и т.д.)
посмотрите в инете есть скрипт - который довольно точно определяет пользователя - fingerprintjs2 этот вроде

Comments

[IdFox]

Ну так тоже не совсем хороший вариант
Блокировать без четкой доказательной базы...
Ну можно конечно, но на анархию похоже :)
Хотя с другой стороны тут у всех методов свои минусы...
За скрипт спасибо, поищу

[IdFox]

Почитал про fingerprintjs2
В принципе как четвертый параметр вполне подходит
Да и более четкое определение дает, чем три других
Спасибо за наводку. Будем в данном направлении копать

Answer 2

[Кирилл Горелов]

Я бы поступил следующим образом.
1. Немного дописал модуль авторизации на вашем сайте. И проверял, авторизован ли пользователь или нет. Если авторизован, то не пускать его, пока он не выйдет из аккаунта.
--вариант не супер, но все же стоит попробовать.
2. авторизация через смс. Да, затратно может выйти,но зато вариант рабочий.
Первым делом я бы оттолкнулся бы от первого варианта.

Comments

[IdFox]

1) Не вовсем понял мысль :)
Имеете ввиду запретить паралельные сессии?
Ну т.е чтобы только OnLine одна сессия на один аккаунт?
Это можно, но так тоже не совсем вариант
Не удобно вечно логинится с компа телефона планшета
Пока оставили с паралельными сессиями
2) Да можно
Но это во первых честным пользователям только жизнь осложнит.
А во вторых есть виртуальные SMS номера.
Ну т.е все SMS на этот номер все люди смогут прочесть оперативно

[Кирилл Горелов]

2. Да, но этот номер знает только один человек знает этот номер.
И к тому же этот номер есть максимум у двух смс операторов. И в частности такие номера они одноразовые. И это все можно настроить, что будет знать только один человек.

что касается смс серверов. можно заморочиться и сделать парсер, который в реальм времени будет искать по всем известным сервисам временные номера. И не давать человеку в водить такие номера.
Конечно при условии, что действительно это стоит того.

Дело в том, что нету уникального варианта, который подходил бы ко всем случаям. Поэтому вам либо придется городить свои заборы, либо согласиться с один из трех предложенных вариантов, либо терпеть это!

Answer 3

[Кузьма Шпагин]

А действительно ли разные люди? А то может я зашел с дома - это один ип, еду на работу в автобусе/метро/машине инет мобильный - другой ип, сижу на работе - третий ип. А ип динамика и как бы не всегда один и тот же. Да и ип может выдаваться разный. А насчет бразуера... Дома хром, в мобиле яндекс/родной телефона, на работе огнелис/хром/яндекс/ие (смотря что открыто), например.

Меня кстати с моб инета определяет в соседнем городе, хотя до него 500 км. Вот вам и 3 человека уже. Тоже это надо учитывать.

А так не понятно зачем вам это нужно. Не думаю что настолько ценный контент чтобы его парсили или копировали. Тем более кроме вашего контента хватает и так в паблике.

Answer 4

[Bjornie]

Во-первых стоит указать в правилах пользования сервиса запрет передавать логин и пароль другим людям. Т.е. при регистрации человек соглашается с этим.

Уведомления: Далее можно присылать уведомления, что у вас есть подозрения в нарушении правил пользования сервисом. Здесь спокойно можно указать причину. Но вы должны быть уверены, что это так.

Соц. сети: Еще, как вариант, можно сделать авторизацию через соц. сети. И если аккаунт будет зарегистрирован на соц. сеть то вряд ли складчик передаст доступ к нему. Хотя есть вариант, что аккаунт будет фейковым.

Сессии: Запрет одновременных сессий, если авторизирована новая сессия, то все остальные удалять.

СМС и сессии: авторизация по СМС и одна активная сессия. Если на складчине сидит много человек, то это затруднит использование сервиса ввиду постоянной необходимости авторизаций.

Макисмальное кол-во разнонобразных подключений: определять тип клиента: его браузер, айпи, в общем любой след. И если таких сессий (п. сессии) будет много в N времени, то это шанс отправить уведомление (п.1).

В общем первый пункт самый главный, дальше можно подумать.