2014 dxdy logo

Научный форум dxdy

Математика, Физика, Computer Science, Machine Learning, LaTeX, Механика и Техника, Химия,
Биология и Медицина, Экономика и Финансовая Математика, Гуманитарные науки




Начать новую тему Ответить на тему На страницу Пред.  1, 2, 3  След.
 
 Re: Клоноводство/взломы и как их обнаруживать
Сообщение05.03.2021, 15:38 


21/05/16
4292
Аделаида
upgrade в сообщении #1507973 писал(а):
В чём жесткость? Доступ на форум с помощью мобильного устройства, приложив палец к кнопке ... да я так по 10 раз на день делаю, чтобы разблокировать телефон.

Хотя бы в том, что большинство устройств биометрией не оснащены?

 Профиль  
                  
 
 Re: Клоноводство/взломы и как их обнаруживать
Сообщение05.03.2021, 15:42 


07/08/14
4231
kotenok gav в сообщении #1507976 писал(а):
большинство устройств биометрией не оснащены?
Большинство мобильных, большинство стационарных (с проверяемым ip)...для мобильного входа - по отпечатку, для станционарного - по паролю с проверкой ip.

 Профиль  
                  
 
 Re: Клоноводство/взломы и как их обнаруживать
Сообщение05.03.2021, 16:08 
Аватара пользователя


11/12/16
13850
уездный город Н
kotenok gav в сообщении #1507972 писал(а):
EUgeneUS в сообщении #1507953

писал(а):
клоны вообще запрещены или какое-то количество не выявленных клонов допустимо?
Запрещены.


Если клоны запрещены (не просто запрещены правилами, а недопустимы), и к тому же у пользователей есть мотивация заводить клонов, то варианта ровно два:
а) самому проводить первичную идентификацию людей в офф-лайне при регистрации\подтверждении учётной записи.
б) найти того, кто Вам предоставит такую услугу.

Вот, например, как это устроено в России.
1. Есть государственный портал - "Госуслуги".
2. Есть возможность прикрутить к коммерческому сайту идентификацию пользователя на "Госуслугах". Вот как это устроено.
3. Но для того, чтобы подтвердить свою учётку на "Госуслугах" нужно сделать одно из следующего:
а) Личное посещение в центрах обслуживания. Там и проверят личность
б) Заказным письмом через Почту России. Почта России проверит личность.
в) Онлайн. В (некоторых) банках при условии, что вы клиент. Банки проверят личность.
г) Через электронную подпись, выданную аккредитованным удостоверяющим центром. Их 506, но всё равно потребуется посещение для проверки личности.

4. И это всё при том, что нигде не нашел, что "Госуслуги" гарантируют отсутствие клонов у себя. То есть, что невозможно иметь две подтвержденные учетки на "Госуслугах" для одного человека.

 Профиль  
                  
 
 Re: Клоноводство/взломы и как их обнаруживать
Сообщение05.03.2021, 16:27 
Аватара пользователя


07/03/16

3167
kotenok gav в сообщении #1507948 писал(а):
есть ли варианты без использования "потверждения личности" по почте/SMS?

Банки используют комплексную проверку: логин, пароль, местоположение, отпечатки пальцев, возможно IP и IMEI.
Например, когда мне понадобилось оплатить налоги, я был в другом регионе, и из-за этого банк инициировал расширенную процедуру установления личности.

И есть еще усиленная цифровая подпись...

 Профиль  
                  
 
 Re: Клоноводство/взломы и как их обнаруживать
Сообщение05.03.2021, 17:25 


21/05/16
4292
Аделаида
Emergency в сообщении #1507986 писал(а):
местоположение, отпечатки пальцев, возможно IP и IMEI

Местоположение - хороший вариант. Про отпечатки пальцев я уже говорил. IP - точно не вариант из-за динамического IP. Насчёт IMEI не знаю, скорее всего, это тоже хороший вариант.
upgrade в сообщении #1507977 писал(а):
Большинство мобильных, большинство стационарных (с проверяемым ip)...для мобильного входа - по отпечатку, для станционарного - по паролю с проверкой ip.

Из всех моих мобильных устройств (около пяти) ни одно не было оснащено биометрией, так что это не вариант. Проверка пароля - очевидно, самая базовая проверка, насчёт IP ответил ниже.
EUgeneUS в сообщении #1507985 писал(а):
Если клоны запрещены (не просто запрещены правилами, а недопустимы), и к тому же у пользователей есть мотивация заводить клонов, то варианта ровно два:
а) самому проводить первичную идентификацию людей в офф-лайне при регистрации\подтверждении учётной записи.
б) найти того, кто Вам предоставит такую услугу.

Выше предложили другие варианты.

 Профиль  
                  
 
 Re: Клоноводство/взломы и как их обнаруживать
Сообщение05.03.2021, 17:29 
Аватара пользователя


11/12/16
13850
уездный город Н
kotenok gav в сообщении #1507991 писал(а):
Выше предложили другие варианты.


Любые варианты, не предусматривающие идентификацию офф-лайн, не исключают клонов.

 Профиль  
                  
 
 Re: Клоноводство/взломы и как их обнаруживать
Сообщение05.03.2021, 18:01 
Заслуженный участник
Аватара пользователя


16/07/14
9149
Цюрих
kotenok gav в сообщении #1507991 писал(а):
Местоположение - хороший вариант
Местоположение и любая пользовательская биометрия от клонов не защитят - со своего устройства я могу передать какие хочу координаты и какую угодно биометрию.

Без какой-то привязки к оффлайну гарантированная защита от клонов невозможна - как вы отличите ситуации "я зарегистрировался два раза" от "я зарегистрировался один раз и мой брат зарегистрировался один раз"?

 Профиль  
                  
 
 Re: Клоноводство/взломы и как их обнаруживать
Сообщение05.03.2021, 18:12 


21/05/16
4292
Аделаида
mihaild в сообщении #1507997 писал(а):
Местоположение и любая пользовательская биометрия от клонов не защитят - со своего устройства я могу передать какие хочу координаты и какую угодно биометрию.

Но для этого нужно её хотя бы знать.
mihaild в сообщении #1507997 писал(а):
Без какой-то привязки к оффлайну гарантированная защита от клонов невозможна - как вы отличите ситуации "я зарегистрировался два раза" от "я зарегистрировался один раз и мой брат зарегистрировался один раз"?

Хм. В принципе, какими-то методами идентификации стиля это будет возможно... Не знаю.

 Профиль  
                  
 
 Re: Клоноводство/взломы и как их обнаруживать
Сообщение05.03.2021, 18:23 
Заслуженный участник
Аватара пользователя


16/07/14
9149
Цюрих
kotenok gav в сообщении #1508000 писал(а):
Но для этого нужно её хотя бы знать.
Это если вы её используете для аутенфикации - т.е. моя задача доказать вам, что я - это я. Если же у меня нет такой задачи, а наоборот, вы хотите понять, я это или не я, то мне ничего знать не нужно - генерирую случайный отпечаток и отправляю его вам.
kotenok gav в сообщении #1508000 писал(а):
В принципе, какими-то методами идентификации стиля это будет возможно... Не знаю
Это эвристики. Они как-то работают (на самом деле даже довольно хорошо), но гарантии не дают.

 Профиль  
                  
 
 Re: Клоноводство/взломы и как их обнаруживать
Сообщение05.03.2021, 18:37 


21/05/16
4292
Аделаида
mihaild в сообщении #1508003 писал(а):
Это если вы её используете для аутенфикации - т.е. моя задача доказать вам, что я - это я. Если же у меня нет такой задачи, а наоборот, вы хотите понять, я это или не я, то мне ничего знать не нужно - генерирую случайный отпечаток и отправляю его вам.

Те признаки (местоположение, IMEI, etc) как раз были для решения проблемы со взломами.
mihaild в сообщении #1508003 писал(а):
Это эвристики. Они как-то работают (на самом деле даже довольно хорошо), но гарантии не дают.

Хорошо, а какие есть хорошие эвристики, которые могут помочь решить проблему с клоноводством?

 Профиль  
                  
 
 Re: Клоноводство/взломы и как их обнаруживать
Сообщение06.03.2021, 13:29 
Заслуженный участник


16/02/13
4195
Владивосток
EUgeneUS в сообщении #1507985 писал(а):
То есть, что невозможно иметь две подтвержденные учетки на "Госуслугах" для одного человека
Ну, как я понимаю, это ж примерно как иметь два разных паспорта — в принципе, чего только не бывает, но весьма и весьма непросто, не?

 Профиль  
                  
 
 Re: Клоноводство/взломы и как их обнаруживать
Сообщение06.03.2021, 14:36 
Аватара пользователя


07/03/16

3167
kotenok gav в сообщении #1508007 писал(а):
а какие есть хорошие эвристики, которые могут помочь решить проблему с клоноводством?

Вы так тщательно выясняете этот вопрос, что можно подумать, что на вашем сайте разыгрываются призы по 10 тыс. долларов. :)
Я полагаю, что затраты на защиту "сейфа" должны соответствовать его содержимому (как и затраты на взлом).

 Профиль  
                  
 
 Re: Клоноводство/взломы и как их обнаруживать
Сообщение06.03.2021, 15:56 
Аватара пользователя


11/12/16
13850
уездный город Н
iifat в сообщении #1508083 писал(а):
Ну, как я понимаю, это ж примерно как иметь два разных паспорта — в принципе, чего только не бывает, но весьма и весьма непросто, не?


Немного про другое в этом месте писал.
На "Госуслугах" идентификатором являются электронная почта или номер мобильного телефона.
Я не знаю, что будет, если попытаться
а) завести новую учетную запись на новый номер телефона. (это точно можно)
б) ввести в неё данные паспорта, ранее введенного в другой учетной записи.
в) попытаться её подтвердить (перевести статус записи в "подтвержденная").

С одной стороны, отследить это не сложно, и при необходимости можно запретить.
С другой стороны, не встречал прямых запретов на это. Может не заметил в правилах "Госуслуг", а может и нет такого ограничения.

Конечно, если такое ограничение существует, то на 50 миллионов (вроде столько сейчас учеток на "Госуслугах"), могут найтись исключения.

 Профиль  
                  
 
 Re: Клоноводство/взломы и как их обнаруживать
Сообщение06.03.2021, 16:07 
Заслуженный участник


16/02/13
4195
Владивосток

(Оффтоп)

EUgeneUS в сообщении #1508099 писал(а):
ввести в неё данные паспорта, ранее введенного в другой учетной записи
Ну, технически я мог бы попробовать, но, не зная в полной мере возможных последствий, не рискну. Уверен, если б этого и не сделали сразу, то уже исправлено. Уж больно очевидная была б дыра.
EUgeneUS в сообщении #1508099 писал(а):
могут найтись исключения
Ну, в существование любых единичных глюков на 50 миллионов охотно могу поверить. Хотя реально встречал совершенно другие.

 Профиль  
                  
 
 Re: Клоноводство/взломы и как их обнаруживать
Сообщение06.03.2021, 16:31 
Аватара пользователя


11/12/16
13850
уездный город Н
iifat

(Оффтоп)

iifat в сообщении #1508102 писал(а):
Уверен, если б этого и не сделали сразу, то уже исправлено. Уж больно очевидная была б дыра.


Просто хотел обратить внимание, что "дыра" это или "не дыра" - зависит от требований, предъявляемых системе.
Подтверждение учетной записи означает (с некоторыми оговорками и условиями), что физлицо, зарегистрировавшее учетную запись, и владелец указанного в учетной записи паспорта - это одно и то же физлицо.
Уникальность учетных записей - это другое требование.

 Профиль  
                  
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 33 ]  На страницу Пред.  1, 2, 3  След.

Модераторы: Karan, Toucan, PAV, maxal, Супермодераторы



Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group