前言
对于同人帐号问题,是个非常复杂的识别难点。除了某些硬性限制的地方,几乎任何一个平台,都可以冒充或者非法借用他人身份实现一个人注册多个用户的情况。即使是要求帐号实名制也没法彻底根治,现实中依然存在大量“伪实名”,比如冒用他人资料。
同人识别用途:
1,涉及支付的业务受到严重的“羊毛”影响。例如国内京东淘宝等电商平台的“新用户优惠”
2,不当行为管理问题。例如:某些用户在其平台进行了不符合器运营规则的处罚措施,账号级别处罚中,其中最为严重的处罚措施往往是封号!
3,违规的利益关系。比如某公司对外的商业活动禁止公司员工极其家属参与
评论:
封号,从影响角度看,确实是一个比较重的处罚措施,但是有些时候这种措施本身也是变相纵容“重新注册”。
在我接触过的一些公开论坛里,实名制虽然比较方便管理,但是收集身份证号本身有着一定的难度,因此一般的约束都是邮箱,手机号去重判断。
同人帐号识别思路
我今天想说的是从注册角度下手,做同人注册的一点鉴别思路。这里说的同人,实际上也并非能够彻底解决,试试针对大部分场景有效。我们先尝试下看看有哪些因素可以拿来使用:
1,公网IP
公网IP有着一定的参考价值。之所以不说他有太高参考价值,其原因在于普通民用家用带宽的“共享IP”导致。IPv4地址资源紧缺,因此很多人上网早就不是“独享IP”了。举个非常简单的例子就是手机的234G网络,几乎是整个城市共享一个IP池的结构。
2,cookie标识
对于单个浏览器,不开启隐私模式(部分浏览器叫做无痕模式)的情况下,那么同一个web站点的cookie是共享的,cookie信息是每次跟着请求发送到服务端的,因此可以在此借用一下,拿来识别客户端属性
3,UserAgent
一般来说,浏览器不升级,不开启调试模式,其UserAgent是相同的,因此在一定的范围下,这个信息也可以用作同人识别
4,填充资料识别
手机号,邮箱,这两条是最为常见的资料识别方式,但是很明显,这两个都可以轻松通过变化手机号和邮箱地址的方式伪造
5,实名制识别
实名制这一条,能实现本身是有一定难度的,对于大公司而言相对容易,因为可以凭借其商业信誉,相对放心的交出身份证信息,个人照片等信息,甚至很多金融级别的系统都已经支持“活体刷脸”认证。不过现实当中,显然还是可以“找人代替”
6,后期分析追认
很多系统,从一开始就拦截同人操作,显然是不够彻底的,那么可以在项目后期进行一个追认分析。这个时候,前期用过的所有资料都可以作为数据源,甚至这时候还多了很多其他数据可以参与分析。包括来自非本系统采集来的数据
总结
关于帐号同源追溯,暂时想到这么多,虽然总结出来的条目并不多,但是其中每一条,其实都已经可以进一步扩展分析了。换句话说,其实上述每一条细化工作其实都很多。不同业务根据各自的情况会延伸出很多不同分支。
原文地址:
https://www.opengps.cn/Blog/View.aspx?id=592
文章的更新编辑依此链接为准。欢迎关注源站原创文章!