4,251
社区成员
发帖
与我相关
我的任务
分享如何限制一个人只能注册一个账号(防注册机)?IP?EMAIL?验证马?
EMAIL没用,可以随便注册很多,验证链接也没用。
根据IP限制的话,动态IP和共享IP,也不行。
验证码,貌似无用,上次看到一个腾讯的验证码都能识别了。
费尽心思研究半天验证码分分钟就被识别麻烦,用户输入也麻烦。
也不能跟用户要身份证号码。有什么办法可以识别一个人呢,让一个人只能拥有一个ID。
还要尽量减少用户需要输入的信息。
根据IP限制的话,动态IP和共享IP,也不行。
验证码,貌似无用,上次看到一个腾讯的验证码都能识别了。
费尽心思研究半天验证码分分钟就被识别麻烦,用户输入也麻烦。
也不能跟用户要身份证号码。有什么办法可以识别一个人呢,让一个人只能拥有一个ID。
还要尽量减少用户需要输入的信息。
...全文
请发表友善的回复…
发表回复
lyfeixue 2011-06-29
- 打赏
- 举报
不开通注册/交互功能,就完全限制了啊
袁先生的博客 2011-06-29
- 打赏
- 举报
楼主你要组什么机密的项目吗?没有那个必要的
立青. 2011-06-15
- 打赏
- 举报
成功验证支付宝账号后才能完成注册
恋着宝贝的鱼 2011-06-13
- 打赏
- 举报
手机,邮箱,验证码。是在不行就人工。
bear63 2011-06-12
- 打赏
- 举报
指纹验证的没话说了吧?
bear63 2011-06-12
- 打赏
- 举报
瞳孔验证的再顶起。。
bear63 2011-06-12
- 打赏
- 举报
声音验证的飘过。。。。
ispax 2011-06-12
- 打赏
- 举报
DNA注册比较不错
bigtooth2006 2011-06-10
- 打赏
- 举报
其实我也想这么说
[Quote=引用 4 楼 lsanu 的回复:]
双胞胎……
引用 3 楼 jordan102 的回复:
那很难。。IP也限制不了。人家换个地方又可以注册了。除非来个人脸识别。
[/Quote]
[Quote=引用 4 楼 lsanu 的回复:]
双胞胎……
引用 3 楼 jordan102 的回复:
那很难。。IP也限制不了。人家换个地方又可以注册了。除非来个人脸识别。
[/Quote]
maquan 2011-06-10
- 打赏
- 举报
所谓“防注册机”,从原理上讲大概是这样的:在执行一个关键任务(比如注册一个帐号)之前,在页面上设计一个只有真人才能完成的交互任务(比如从一个图片中识别出几个字符),从而得到一个令牌(比如验证码),只有把这个令牌一并提交到服务器,才能启动关键任务。
常见的图片验证码,是一个最简单的实现。如果发挥想象,尽可以创造性地发明各种实现方法。比如我看到有的网站在发帖前要回答一个问题,可能是算术题,也可能是其它问题,对于真人来说,很容易输入答案,而对于“机器人”来说,就有一定难度了(当然如果有黑客专门针对它进行穷举和识别,也是有希望破解的)。
再比如我还见过有的网站是播放一段声音,然后要求用户输入听到的单词。
另外像 Android 手机上的一种“九宫格划屏解锁”的交互方式,也可以借用来防注册机:在页面上显示一个或一组图片,再以文字方式(文字也可以显示在图片里)指导用户做一系列点击操作,通过 AJAX 的方式把鼠标动作发送到服务器,如果正确的话,服务器就向客户端提供一个令牌。
这些实现方式都有一个特点(包括图片验证码),只要你的基本逻辑实现了,即使被破解了,那么只要对算法稍做调整,就可以使原有的破解失效。安全工作没有一劳永逸的。
常见的图片验证码,是一个最简单的实现。如果发挥想象,尽可以创造性地发明各种实现方法。比如我看到有的网站在发帖前要回答一个问题,可能是算术题,也可能是其它问题,对于真人来说,很容易输入答案,而对于“机器人”来说,就有一定难度了(当然如果有黑客专门针对它进行穷举和识别,也是有希望破解的)。
再比如我还见过有的网站是播放一段声音,然后要求用户输入听到的单词。
另外像 Android 手机上的一种“九宫格划屏解锁”的交互方式,也可以借用来防注册机:在页面上显示一个或一组图片,再以文字方式(文字也可以显示在图片里)指导用户做一系列点击操作,通过 AJAX 的方式把鼠标动作发送到服务器,如果正确的话,服务器就向客户端提供一个令牌。
这些实现方式都有一个特点(包括图片验证码),只要你的基本逻辑实现了,即使被破解了,那么只要对算法稍做调整,就可以使原有的破解失效。安全工作没有一劳永逸的。
maquan 2011-06-10
- 打赏
- 举报
强调两个设计原则:
1. 所有的安全防护都是“相对”的,没有“绝对的严密”。
2. 明确你的首要目标,根据目标确定方法。
考察一下楼主的原始需求,其实是“防注册机”,是吧?
并不是要“实名”,也不一定要求“每个 IP 只能注册一个号”,这些都是拿来作为“方法”的,而这些方法显然并不是很有效。
其实最有效的,还是“验证码”。别觉得验证码那么容易破解,首先看你的网站是否有那么高的价值让人家专门花心思来破解,如果真是很有价值的话,你肯定也会有足够的资金支持来完善验证码的实现了 :)
另外,邮箱验证也可以作为一个简单有效的辅助手段。
1. 所有的安全防护都是“相对”的,没有“绝对的严密”。
2. 明确你的首要目标,根据目标确定方法。
考察一下楼主的原始需求,其实是“防注册机”,是吧?
并不是要“实名”,也不一定要求“每个 IP 只能注册一个号”,这些都是拿来作为“方法”的,而这些方法显然并不是很有效。
其实最有效的,还是“验证码”。别觉得验证码那么容易破解,首先看你的网站是否有那么高的价值让人家专门花心思来破解,如果真是很有价值的话,你肯定也会有足够的资金支持来完善验证码的实现了 :)
另外,邮箱验证也可以作为一个简单有效的辅助手段。
golmjie 2011-06-10
- 打赏
- 举报
手机注册。。
zufangok 2011-06-10
- 打赏
- 举报
不必太认真了,金无足赤人无完人!
伴老思源 2011-06-10
- 打赏
- 举报
如果不是国家出台个国n条来强制执行,别无他法~
伴老思源 2011-06-10
- 打赏
- 举报
一人一号?你还要网络实名制啊?!
jhdl_n 2011-06-10
- 打赏
- 举报
会员注册收费
lijpwsw 2011-06-10
- 打赏
- 举报
弄个验证码就可以了,如果不是什么重要网站谁去破你的验证码啊……
回忆那么久 2011-06-08
- 打赏
- 举报
[Quote=引用 2 楼 tendarouter 的回复:]
为什么要这么严格的限制呢? 就算你公安部的身份证系统,不还是会出现一个人两个身份证么。
[/Quote]
搞笑~~真实情况额
为什么要这么严格的限制呢? 就算你公安部的身份证系统,不还是会出现一个人两个身份证么。
[/Quote]
搞笑~~真实情况额
baoxiaohua 2011-06-07
- 打赏
- 举报
跟着支付宝混,上传身份证+照片+手机进行人工验证
Aaron_ 2011-06-07
- 打赏
- 举报
限制不可能做得那么绝对,只能相对做一些。
想防注册机,最好是通过手机接收短信,手机号码做个记录。每个手机号码只能注册XX条数据等
想防注册机,最好是通过手机接收短信,手机号码做个记录。每个手机号码只能注册XX条数据等
加载更多回复(6)
