V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Loki2015
V2EX  ›  信息安全

[账户管理问题]有什么手段限制账户只能本人使用?

  •  
  •   Loki2015 · 2016-06-27 22:50:44 +08:00 · 3851 次点击
    这是一个创建于 3077 天前的主题,其中的信息可能已经有所发展或是发生改变。

    作为一个放在公网的 WEB 程序

    如何最大程度的遏制账号分享行为与被盗问题。

    (主要还是针对账号分享行为,之所以说最大程度,是因为凡事无绝对,人家登陆账号之后把电脑给别人用这种 谁也没辙,但要想办法增加分享的难度(比如每次都要麻烦账户主人,跟账户主人产生一次或数次的交互过程))

    1 、传统的账号密码机制,显然无法实现标题需求,密码被盗或发给别人,那么账号就可以多人使用了,虽然服务端可以限制同一时间账号只能存在一个会话但也无法防范账号被分享的问题。作为互联网程序,也不能实现 IP 限制(什么常用地之类的),不方便,用户体验差。

    2 、 U 盾, OTP , RSA 动态令牌等商业方案成本高,即便是采用谷歌的身份验证器实现也存在一个问题,那就是作为密钥的二维码扫描时无法控制对方是否多人同时扫描录入,出现这样的情况,意味着仍然可以多人共用同一个账户。

    3 、账号结合短信验证的方式,实现手机绑定,那么想分享给别人用,至少每次也要麻烦手机主人获得验证码才行,这种方式目前比较普遍,但是管理方需要付出短信接口成本。

    4 、开发基于网络身份验证授权的 pc 程序绑定主机使用 or 绑定手机的 APP 用以获取访问 WEB 的权限,这种方式的弊端就是涉及到多种平台的软件开发。用户要额外装程序

    随便提了几点 求集思广益

    12 条回复    2016-06-30 08:28:34 +08:00
    rekulas
        1
    rekulas  
       2016-06-27 22:56:09 +08:00
    视频网站防分享?
    用户第一次登录产生一个 key 发送给用户,在其他设备登录需要邮件认证(or 其他认证)并重置 key 给用户,同一时间一个账户只有当前激活 key 才能登录
    Shura
        2
    Shura  
       2016-06-27 23:15:33 +08:00 via Android
    给 web 界面套个客户端,绑定一堆机器特征值,客户端动态生成 token ,避免伪造请求。
    Loki2015
        3
    Loki2015  
    OP
       2016-06-27 23:21:32 +08:00
    @rekulas
    只是想遏制账户分享行为,增加分享的麻烦程度,目前已经是同一时间同一账户只能在线一个了。

    @Shura
    说起来,我突然赶脚 QQ 和微信的“设备锁”不就是这个意思么。
    之前我还想过可不可以基于 QQ 或微信来作账户,但这里面就怕人家拿个小号来注册,到时候微信账号一分享,只要不是同一时间,谁都能用。
    fcicq
        4
    fcicq  
       2016-06-27 23:22:39 +08:00
    这问题迟早要规约到 HSM 上去.
    XianZaiZhuCe
        5
    XianZaiZhuCe  
       2016-06-27 23:24:20 +08:00 via iPhone
    和设备关联起来,换了设备就要验证
    lslqtz
        6
    lslqtz  
       2016-06-27 23:26:50 +08:00 via iPhone
    防盗链,针对 IP 做,主人给别人用电脑你这个肯定没法子。
    lslqtz
        7
    lslqtz  
       2016-06-27 23:27:39 +08:00 via iPhone
    然后强制进行两次验证。
    lshero
        8
    lshero  
       2016-06-27 23:30:59 +08:00
    按次付费
    ryd994
        9
    ryd994  
       2016-06-28 01:34:38 +08:00 via Android
    硬件密钥然后单会话互踢呢?
    再绝一点可以所有数据加密传输,只能用硬件解密,这样就保证只有硬件连着才能访问
    Jasmine2016
        10
    Jasmine2016  
       2016-06-29 10:00:04 +08:00
    @lshero 66666
    lshero
        11
    lshero  
       2016-06-30 00:30:40 +08:00
    @Jasmine2016 以前的 FTP 站 现在的 PT 站 基本很少有人外借账号吧 都是下载完后二次分发
    Jasmine2016
        12
    Jasmine2016  
       2016-06-30 08:28:34 +08:00
    @lshero 我觉得按次付费的确是个挺有效的办法,但是估计这样的话很多人可能不买账。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2880 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 06:28 · PVG 14:28 · LAX 22:28 · JFK 01:28
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.