Effektiver Schutz vor Multiaccounts

[cd_brenner]

Sehr geehrte Ayom Community.

Ich betreibe ein Browsergame, welches derzeit zwar online, aber noch im Aufbau ist.
Mein Problem ist der Schutz vor Multiaccounts.
Zur Erklärung: Ein User registriert einen Mainaccount und einen Subaccount. Der Subaccount dient dem schnelleren Aufbau des Mainaccounts.
Im Moment prüfe ich bei jedem Login, ob es bereits einen User gibt, er dieselbe IP Adresse verwendet. Nur sehr effektiv ist diese Methode nicht, da IP Adressen relativ schnell geändert sind.
Jetzt meine Frage:
Ist es irgendwie möglich ein System eindeutig zu indentifizieren, oder irgendein Merkmal zu finden?
Man könnte einen Cockie setzen. Bringt sich aber auch recht wenig.

Vielleicht hat jemand Erfahrungen mit Problemen dieser Art und kann mir ein wenig helfen.

Vielen Dank, Markus

 

[Ronald Nickel]

QUOTE (cd_brenner @ Di 5.9.2006, 3:26) Man könnte einen Cockie setzen. Bringt sich aber auch recht wenig.


Warum kein Cookie?

Gru0 Ronny

 

[Michael Bieri]

Hmm, das mit dem Cookie ist ebenfalls sehr schnell umgangen..

Ich habe mal irgendwo die Variante gesehen, dass die E-Mail als "Schlüssel" diente. Um dem ganzen Sinn zu verleihen, waren unzählige gratis Maildienste grundsätzlich gesperrt.

Ich fand das ganz auf den ersten Blick sehr konsequent, bei weiteren nachdenken fand ich die Variante jedoch gar nicht mehr so schlecht, weil doch jeder irgendwie über die Firma, Schule, Verein etc. eine eigene, "professionelle" Adresse hat.

Skiptkiddies mit eigener Domain werden auch hier wieder im Vorteil sein, jedoch wird deren ANteil relativ gering sein..

 

[Knoppers]

Ganz einfach:

Verifikation per SMS, dann kostet ein User allerdings 1-3 Euro Cent zusätzlich.

Du schickst dem User einen Code aufs Handy, diesen gibt er auf Deiner HP ein.
Für zukünftige Anmeldungen sperrst Du diese Handynummer.

Die Anmeldung kann man beliebig verkomplizieren:

-Cookie-Sperre
-IP-Sperre
-Email-Opt-In
-SMS-Opt-in
-Du überweist einen Code aufs Konto (Wie Paypal) (Konto-Opt-in

)
-Du schickst ihm eine Postkarte mit Code nach Hause (Anschrift-Opt-In), so wie damals Web.de

 

[cd_brenner]

Danke, für die ersten Antworten!

Cookie Sperre werd ich auf jeden Fall noch machen.

Bei den eMails die Free Anbieter sperren.. naja.. Ich glaube, ich würde meine User damit verärgern. Ich nehme mich als Beispiel: Ich hab nur Freemailboxen.

² überweisen: Das ist mir händisch zu viel Arbeit.. Ausserdem Dauert es zu lange. Gleiches gilt für Postkarten schicken...

Vielleicht hat jemand noch Ideen.

 

[pangu]

du könntest dir theoretisch von den usern per mail eine fotografie ihres personalausweises schicken lassen, bleibt halt die frage, ob das die user mitmachen..

 

[cd_brenner]

^^ Das ist nahe dem Unmöglichen.

 

[Michael Bieri]

Naja, einen 100% Schutz, der sich ohne Aufwand anbietet, wirst du unmöglich finden. Irgend einen Kompromiss musst du eingehen, um zumindest mal einen Schritt in diese Richtung zu tun..

Ev. wäre es eine Alternative, den Spielmodus anzupassen, so dass sich neu registrierte User erstmal "qualifizieren" müssen, und nicht gleich nach dem ersten Login virtuell bankrott laufen können.

btw.: Welches betreibst du? (PM?)

 

[Joel]

Ich habe eine kleine Idee diesbezüglich:

Ein signiertes Java-Applet welches die Mac-Adresse ausliest und in einer bestimmten Form (z.B. als Hash) weitergibt.

Vorteile:
- Wenn sauber programmiert: Garantiert nur ein Benutzer pro Computer
Nachteile:
- Benutzer kann auf zweitem PC einen Account erstellen.
- Benutzer muss eine Java-Sicherheitsmeldung bestätigen.
- Ein bisschen Programmierarbeit (Muss für jedes Betriebbsystem angepasst werden .. Linux, Mac, Windows, ...)

Meiner Meinung nach eine unsaubere Lösung! Aber immer noch besser als Ausweise einscannen, oder ähnliches!

CODE
import java.io.IOException;
import java.util.Scanner;
public class MacAddress
{
public static String getMacAddress() throws IOException
{
Process proc = Runtime.getRuntime().exec( "cmd /c ipconfig /all" );
Scanner s = new Scanner( proc.getInputStream() );
return s.findInLine( "\\p{XDigit}\\p{XDigit}(-\\p{XDigit}\\p{XDigit}){5}" );
}
public static void main( String[] args ) throws IOException
{
System.out.println( getMacAddress() );
}
}



--

Ansonsten Cookies verwenden und damit rechnen, dass 2% der Benutzer halt bescheissen ...

 

[cd_brenner]

Ich werde es so machen, dass ich Multiaccounts erlaube. Aber nur solange der 2. Account nicht dazu dient, den ersten aufzubauen.
Und die Kontrolle darüber hab ich.