Научный форум dxdy

Хотя бы в том, что большинство устройств биометрией не оснащены?

Большинство мобильных, большинство стационарных (с проверяемым ip)...для мобильного входа - по отпечатку, для станционарного - по паролю с проверкой ip.

Если клоны запрещены (не просто запрещены правилами, а недопустимы), и к тому же у пользователей есть мотивация заводить клонов, то варианта ровно два:
а) самому проводить первичную идентификацию людей в офф-лайне при регистрации\подтверждении учётной записи.
б) найти того, кто Вам предоставит такую услугу.

Вот, например, как это устроено в России.
1. Есть государственный портал - "Госуслуги".
2. Есть возможность прикрутить к коммерческому сайту идентификацию пользователя на "Госуслугах". Вот как это устроено.
3. Но для того, чтобы подтвердить свою учётку на "Госуслугах" нужно сделать одно из следующего:
а) Личное посещение в центрах обслуживания. Там и проверят личность
б) Заказным письмом через Почту России. Почта России проверит личность.
в) Онлайн. В (некоторых) банках при условии, что вы клиент. Банки проверят личность.
г) Через электронную подпись, выданную аккредитованным удостоверяющим центром. Их 506, но всё равно потребуется посещение для проверки личности.

4. И это всё при том, что нигде не нашел, что "Госуслуги" гарантируют отсутствие клонов у себя. То есть, что невозможно иметь две подтвержденные учетки на "Госуслугах" для одного человека.

Банки используют комплексную проверку: логин, пароль, местоположение, отпечатки пальцев, возможно IP и IMEI.
Например, когда мне понадобилось оплатить налоги, я был в другом регионе, и из-за этого банк инициировал расширенную процедуру установления личности.

И есть еще усиленная цифровая подпись...

Местоположение - хороший вариант. Про отпечатки пальцев я уже говорил. IP - точно не вариант из-за динамического IP. Насчёт IMEI не знаю, скорее всего, это тоже хороший вариант.

Из всех моих мобильных устройств (около пяти) ни одно не было оснащено биометрией, так что это не вариант. Проверка пароля - очевидно, самая базовая проверка, насчёт IP ответил ниже.

Выше предложили другие варианты.

Любые варианты, не предусматривающие идентификацию офф-лайн, не исключают клонов.

Местоположение и любая пользовательская биометрия от клонов не защитят - со своего устройства я могу передать какие хочу координаты и какую угодно биометрию.

Без какой-то привязки к оффлайну гарантированная защита от клонов невозможна - как вы отличите ситуации "я зарегистрировался два раза" от "я зарегистрировался один раз и мой брат зарегистрировался один раз"?

Но для этого нужно её хотя бы знать.

Хм. В принципе, какими-то методами идентификации стиля это будет возможно... Не знаю.

Это если вы её используете для аутенфикации - т.е. моя задача доказать вам, что я - это я. Если же у меня нет такой задачи, а наоборот, вы хотите понять, я это или не я, то мне ничего знать не нужно - генерирую случайный отпечаток и отправляю его вам.
Это эвристики. Они как-то работают (на самом деле даже довольно хорошо), но гарантии не дают.

Те признаки (местоположение, IMEI, etc) как раз были для решения проблемы со взломами.

Хорошо, а какие есть хорошие эвристики, которые могут помочь решить проблему с клоноводством?

Ну, как я понимаю, это ж примерно как иметь два разных паспорта — в принципе, чего только не бывает, но весьма и весьма непросто, не?

Вы так тщательно выясняете этот вопрос, что можно подумать, что на вашем сайте разыгрываются призы по 10 тыс. долларов. :)
Я полагаю, что затраты на защиту "сейфа" должны соответствовать его содержимому (как и затраты на взлом).

Немного про другое в этом месте писал.
На "Госуслугах" идентификатором являются электронная почта или номер мобильного телефона.
Я не знаю, что будет, если попытаться
а) завести новую учетную запись на новый номер телефона. (это точно можно)
б) ввести в неё данные паспорта, ранее введенного в другой учетной записи.
в) попытаться её подтвердить (перевести статус записи в "подтвержденная").

С одной стороны, отследить это не сложно, и при необходимости можно запретить.
С другой стороны, не встречал прямых запретов на это. Может не заметил в правилах "Госуслуг", а может и нет такого ограничения.

Конечно, если такое ограничение существует, то на 50 миллионов (вроде столько сейчас учеток на "Госуслугах"), могут найтись исключения.

(Оффтоп)

iifat

(Оффтоп)