Erkennen Menschen den Austausch von login - / account-Informationen für eine website
Ich habe eine website mit einem geschützten Bereich zugänglich durch einloggen mit account-info. Im geschützten Bereich habe ich einige teure IP. Ich habe festgestellt, dass Menschen teilen Ihre Passwörter mit anderen Menschen. Gibt es bestehende Technologien /Lösungen /Methoden, die ich implementieren kann, um Betrug zu erkennen Muster?
Vielen Dank im Voraus für die Hilfe.
- Ich glaube, dass es nur möglich ist die option anfügen Benutzer IP (die geht nach hinten Los, weil gültige Benutzer kann sich nicht anmelden von anderen Computer) (oder) Single-Anmeldung nur.
- Ich denke, die Vermeidung einer gültigen Benutzer von der Anmeldung in einer anderen Maschine in der gleichen Zeit, ist genau, was Sie wollte. Es läuft darauf hinaus, eine Frage des Timings. derselbe Benutzer, mehrere Computer, gleiche Zeit = schlecht. derselbe Benutzer, mehrere Computer, verschiedene Zeiten = ok.
Du musst angemeldet sein, um einen Kommentar abzugeben.
überprüfen geographischen region. Wenn innerhalb einer bestimmten Zeitrahmen mehreren Anmeldungen aus Regionen, die geographisch weit auseinander log-in, dann wissen Sie diese Anmeldeinformationen freigegeben wurden.
Bandbreite Verbrauch: wenn Ihre Website bietet viel Inhalt, wenn ein Benutzer geht über einige high limit, es bedeutet, dass Ihre Anmeldeinformationen freigegeben wurden
halten Sie einen Zähler mit live-sessions, so können Sie sehen, wie viele Menschen sich in der gleichen Zeit. Dies ist ungenau, weil ein und dieselbe person kann-log-in durch mehrere Browser von der selben IP und haben eine session auf jeden.
Gibt es mehrere Möglichkeiten, dies zu nähern. Aber es ist wirklich einkochen, um die Art der Inhalte und wie oft ein bestimmter Benutzer wirklich ist greifen neue Inhalte. Für adult-websites, die offensichtlich der primäre Zweck der Anmeldungen ist zum herunterladen neuer Inhalte. Ich bin mir nicht sicher über Ihre Website.
Einer Art und Weise, und vielleicht am einfachsten, wird einfach begrenzen die Anzahl der gleichzeitigen downloads und/oder limit jeden download.
Wenn die Dateien groß genug sind, können Sie verhängen ein limit, wie schnell die Datenübertragung stattfindet. Wählen Sie etwas, das ein wenig langsam, aber nicht langsam genug, um die Leute verrückt. Ich würde vermuten, die Einnahme von 30 Sekunden, um eine Datei herunterzuladen ist nicht so schlimm.
Dann, nur zulassen, dass Sie zum download 1-oder 2-Dokumente zu einem Zeitpunkt pro login-id. Menschen wird ein bisschen weniger wahrscheinlich, um zu teilen Ihr Kennwort ein, wenn Sie wissen, dass Sie kann nicht in der Lage sein, um etwas herunterladen, weil jemand anders ist.
Ein weiterer Ansatz wäre die Erfassung der IP-Adresse, wenn der Benutzer sich anmeldet. Ja, ich weiß, diese änderungen, aber es gibt Ihnen einen Ausgangspunkt. Wenn mehrere Benutzer aktiv sind, mit der gleichen Anmelde-id aber mit unterschiedlichen IPs, dann können Sie entweder senden Sie eine Warnung besagt, dass Ihr Konto wurde "gehackt" 😉 und, dass Sie das Kennwort ändern. Ändern Sie, tritt jeder aus, und senden das Passwort an die E-Mail-Adresse auf Datei.
Beachten Sie, dass Sie nicht aufhören wollen, ein Benutzer den Zugriff auf Sie von der Arbeit dann nach Hause gehen und Zugriff auf es. Also, Sie haben, um sicherzustellen, dass Sie sind im wesentlichen zur selben Zeit online. Dies bedeutet, dass Anfragen von verschiedenen IPs innerhalb einer minute oder zwei jeder andere.
Eine Variante wäre, zu erkennen, wenn Sie mehrere session-ids verknüpft sind mit dem gleichen login. Zum Beispiel, wenn Sie sich anmelden, speichern Sie die aktuelle session-id in eine Tabelle. Nachdem Sie sich ausloggen oder ein timeout erreicht ist, wird klar, dass die session-id.
Lassen Sie sich nicht erneut einloggen, während ein anderer session-id aktiv ist. Informieren Sie Sie, Sie müssen warten, xx Minuten, bis die Sitzung gelöscht wird ODER dass ein anderer Benutzer angemeldet ist mit Ihrem Konto.
Bitten Sie Sie, wenn Sie zurücksetzen möchten in der Sitzung. Dies ermöglicht für die Situationen, in denen jemand versehentlich den browser schließt und geht zurück zu Ihrer Website. Wenn Sie wählen ja, dann stoppen Sie das derzeit aktive Sitzung, ändern Sie das Kennwort und senden es an die E-Mail-Adresse auf Datei.
Ich garantiere, dieses Letzte man wird die Menschen stoppen Sie teilen Ihre Passwörter. Nach allem, wenn ich kann mich nicht einloggen, weil jemand, den ich gab mein Passwort gerade online ist, dann ist das ein Schmerz Punkt möchte ich aufhören. Auch, wenn ich der bin, der mir die Passwort-und nur mich ausgesperrt, weil das Passwort geändert wurde, dann werde ich entweder mein eigenes Konto oder gehen woanders: beide sind in der Regel akzeptabel Situationen.
Es ist durchaus ein heikler Punkt:
Wenn Ihre Benutzer ändert sich die Position mehrmals am Tag, Ihre IP zu ändern, aber es ist immer noch die gleiche person.
Wenn Ihr Benutzer hat die gleiche Lage den ganzen Tag, sondern verbindet mehrere Male, es könnte sehr gut sein, verschiedene Benutzer, sagen wir, in einem internet-café.
Verwenden Sie eine Kombination aus diesen: wenn der Benutzer ändert sich die IP Häufig, gehen und überprüfen Sie die Position auf der Karte an, dass IP, und sehen, ob es möglich ist, zu Reisen, die Distanz in der Zeit zwischen den 2 verbindungen. Wenn es nicht, es ist ein Betrug.