Обнаружение злоупотребления учетными данными

Question

Обнаружение злоупотребления учетными данными

Привет.

Я вебмастер для небольшой, растущей промышленной ассоциации. Вскоре мне нужно будет создать для сайта ограниченный раздел только для членов.

Проблема в том, что в нашу организацию входят как крупные компании, так и любительские "клубы" (это относительно новая отрасль…).

Понятно, что эти клубы будут использовать идентификатор входа, который они будут использовать для входа на наш сайт. Проблема заключается в том, чтобы определить, будет ли один из их членов предоставлять учетные данные для входа людям, которые обычно не должны были бы посещать веб-сайт (у такого клуба нет никаких возражений против того, чтобы все его члены попадали на веб-сайт).

Я думал о регистрации вместе с каждым входом в IP-адрес, а также ОС и используемый браузер; если операционная система / браузер остается постоянной и, скажем, не более 10 различных IP-адресов, эта учетная запись явно используется очень немногими различными компьютерами.

Но если имеется 50 комбинаций ОС / браузера и 150 разных IP-адресов, учетные данные, очевидно, были распространены далеко, и тогда возникнет причина для действий, таких как изменение пароля.

Конечно, это очень раздражает, когда ваш пароль меняется в одностороннем порядке. Итак, для решения этой проблемы я подумал о том, чтобы разрешить "клубам" управлять своим собственным списком дополнительных учетных записей, и, следовательно, если подозревается злоупотребление, ответственный пользователь будет легко зафиксирован, и один этот "дополнительный член" будет столкнуться с раздражением смены пароля.

Вопрос: Какие потенциальные проблемы кто-нибудь увидит при таком подходе?

1

login website credentials detection abuse

Источник

18 ноя '09 в 05:54

1 ответ

Другие вопросы по тегам login website credentials detection abuse

user1502059 18 ноя '09 в 06:03 2009-11-18 06:03 · Answer 1 · 2009-11-18 06:03

Есть ли какая-то конкретная причина, по которой вы не можете заставить каждого члена клуба зарегистрироваться (просто по порядку, не обязательно в качестве саба или подобной сложной структуры)? Возможно, дайте каждому клубу какой-то код, который будет использоваться только тогда, когда пользователи регистрируются, чтобы вы могли автоматически создавать их учетные записи и связывать их с клубом, но тогда у вас будет прямой учет каждого участника без обременительного процесса, которым клуб должен управлять самостоятельно. Тогда гораздо проще определить, распространяется ли конкретная учетная запись (разрозненный доступ к IP в определенные периоды времени).

Очевидно, что в этом случае вы также можете установить ограничение на количество дочерних аккаунтов в каждом клубе. Я полагаю, что это в основном то, что вы предложили, но я постараюсь не допускать обременительных задач управления в руки ваших пользователей, если это возможно. Если вы можете управлять регистрациями, связанными с клубом, вы должны вместо того, чтобы заставлять кого-то в клубе управлять ими для вас.

Кроме того, хотя какая-то эвристика, основанная на IP и учетных данных, вероятно, подходит, я бы держался подальше от включения агента пользователя или, по крайней мере, слишком заботился об этом. Видеть несколько разных UA с одного и того же IP -адреса - в зависимости от ожидаемой базы пользователей, я полагаю - не так уж и необычно. В течение дня я пользуюсь несколькими браузерами из-за ошибок на сайте и т. Д., И если кто-то не использует машину в качестве прокси-сервера, это не является доказательством чего-либо гнусного.