Предотвращение фальшивых аккаунтов

Question

Я работаю над простым веб-сервисом, который позволяет пользователям бесплатно регистрироваться и загружать небольшое количество данных.Я легко могу установить квоту для каждого пользователя, но злоумышленники могут создавать поддельные учетные записи для загрузки столько данных, сколько им нужно в атаке типа «отказ в обслуживании».

Очевидно, что нет идеальной защиты от этого типаатаковать, но что мы можем сделать, чтобы смягчить эту проблему?

Answer 1

1. используйте капчу при создании учетной записи, чтобы гарантировать, что это человек, а не автоматизированный процесс.
2. требуется действительный адрес электронной почты и требуют, чтобы они щелкнули ссылку в своем электронном письме, чтобы подтвердить, что это ихадрес электронной почты и продолжить процесс регистрации.Это снижает их способность создавать много одноразовых учетных записей, потому что вы можете ограничить их наличием только одной учетной записи на один адрес электронной почты, и они должны затем создать новый адрес электронной почты для каждой учетной записи, которую они хотят создать.

Answer 2

Свяжите его с более или менее уникальным идентификатором (номер телефона, номер банковского счета, учетная запись facebook / google / etc) или с ограниченным ресурсом (например, временем, используя капчу).

Answer 3

Просто зарегистрируйте IP-адреса и выберите того же пользователя, если IP-адрес не изменяется в течение определенного промежутка времени.Это плохо, потому что это помешает нескольким пользователям в одном доме (один и тот же IP), но это хорошее начало.

Answer 4

Когда пользователь регистрируется, он предоставляет действительный адрес электронной почты.Большинство аккаунтов не имеют разрешения , пока не будет получен ответ, обычно путем нажатия на ссылку в теле письма.Когда этот переход получен, вы сможете получить IP-адрес.Это должно помочь вам сократить количество случайных DOS-атак.