Регистрация пользователей

Добрый вечер!
Встал передо мной вопрос регистрации пользователей в системе, при этом нужно сделать как можно надежнее защиту от возможности регистрировать несколько аккаунтов на одного человека. Верификацию по паспорту не рассматриваю, дабы не пугать рядовых пользователей, поэтому было принято решение использовать свяязку мобильного телефона и ID мобильного девайса (регаться можно будет только с телефона).
С девайс ID все понятно - считали и передали (хотя, как я понял и тут можно сделать подмену через какую-нибудь виртуальную машину), но с номером телефона не так все просто. Есть несколько вариантов:
1) Подтверждение по SMS. Главная проблема - стоимость. Каждое SMS через API выходит около 5р, что как-то жирновато. Плюс несложной атакой можно за пару минут опустошить счет. Сейчас для тестов написал свой шлюз, тариф дешевле, но для бизнеса такое не проканает.
2) Подтверждение по последним цифрам входящего номера. Тоже неплохо, но нужно как-то выбрать надежного поставщика услуг, ибо если он загнется, то загнется вся система, пока не перепишешь API под нового. Самому такую базу номеров держать сложно.
3) Подтверждение по исходящему вызову. Идея простая - даем пользователю номер, на который ему нужно позвонить, система поредяет,что вызов пришел с нужного номера и все. Просто, дешево, но есть но - подмена CallerID. Не знаю сработает ли это, если я буду использовать АОН на модеме, поддерживающем только 2G (подмена я так понял работает только через SIP, но как оно выглядит со стороы принимающей звонок, я так и не понял), но если сработает, то кто угодно сможет зарегитрироваться с любого номера.

Что думаете по поводу всего этого?
Буду благодарен за любые полезные мысли.

0

Вы же понимаете, что реализовать полную защиту от возможности регистрировать несколько аккаунтов на одного человека без проверки аккредитованной ЭЦП или интеграции с госсервисами все равно невозможно? А в рамках защиты от тех, кто не особо шарит, достаточно использовать штатную авторизацию через сервисы Google/Apple. Остальные все равно найдут десять способов обхода любого ограничения, не завязанного на паспорт.

Добавлено через 3 минуты

Сообщение от a13428711 Подтверждение по SMS

Сервисы аренды виртуальных номеров для прохождения SMS-регистраций существуют уже лет 10.

Сообщение от a13428711 Подтверждение по исходящему вызову

Тоже давно не проблема подстановки любого исходящего номера, пусть и не за три копейки, как предыдущий вариант.

1

Сообщение от quwy Вы же понимаете, что реализовать полную защиту от возможности регистрировать несколько аккаунтов на одного человека без проверки аккредитованной ЭЦП или интеграции с госсервисами все равно невозможно?

Конечно понимаю, но хочется хоть немного приблизиться к этому)

Сообщение от quwy Сервисы аренды виртуальных номеров для прохождения SMS-регистраций существуют уже лет 10

Блин, а про них то я и забыл. Тоже в топку значит.

Сообщение от quwy Тоже давно не проблема подстановки любого исходящего номера, пусть и не за три копейки, как предыдущий вариант.

Тоже склоняюсь к этому. Хотел убедиться посмотрев ответ от модема при входящем звонке (может есть какие маркеры, чтоб отбрасывать такие звонки), но ни один сервис с бесплатным тестом, как назло, так и не выполнил вызов...

А Google/Apple насколько надежны в этом плане? Просто с Apple вроде более менее, но гугловых почт в свое время нарегистрировали столько, что мама не горюй. Да и эмуляторы на Андроид есть, а значит накрутить там можно что душа пожелает.
Это я так вижу, но может представление неверное - не работал ранее с этой темой.

Добавлено через 9 минут
https://www.kommersant.ru/doc/6651550
Палец в ж*** и провернуть)

0

Сообщение от a13428711 гугловых почт в свое время нарегистрировали столько, что мама не горюй. Да и эмуляторы на Андроид есть, а значит накрутить там можно что душа пожелает

Хоть номер телефона при регистрации и не обязателен, я видел, что некоторые приложения с такой авторизацией требуют наличия подтвержденного номера в аккаунте, иначе не пускают. То есть способ есть, но подробностей я не знаю.

Кстати, так же можно использовать и мессенджеры, обязательно требующие номер телефона (Viber, Telegram и т.д.).

0

Сообщение от a13428711 защиту от возможности регистрировать несколько аккаунтов на одного человека

а критерий "одного человека" какие? Если у него два телефона, это один человек или два?

0

Регистрацию следует упрощать, а не усложнять. Например, войти с помощью Гугла, Яндекса и так далее. У вас на сайте деньги, что ли бесплатно раздают? Никто не захочет так заморачиваться ради очередного сайта, которых полно в интернете.

0

Сообщение от quwy Кстати, так же можно использовать и мессенджеры, обязательно требующие номер телефона (Viber, Telegram и т.д.).

Приложение по типу мессенджера, поэтому не хочу привязку делать к другим аналогам. Нужно чтоб у пользователя было ощущение надежности, а в иделале и по факту было надежно.

Сообщение от Alex1126 а критерий "одного человека" какие? Если у него два телефона, это один человек или два?

Понимаю к чему вы. Пока допустимо одному человеку пройти регистрацию с нескольких телефонов с разнами номерами. Решить этот вопрос можно только со СберID или Госуслугами, но и те и другие работают только с ИП и ЮЛ, а я пока простой физик. Если пойдет, то можно будет двигаться в этом направлении.

Сообщение от sajokarife У вас на сайте деньги, что ли бесплатно раздают? Никто не захочет так заморачиваться ради очередного сайта

Есть перспектива к росту проекта, поэтому хочу заранее попытаться всеми доступными методами обезопасить сервис от спаммеров. Чтоб потом как телеграмм на заре - не превратиться в помойку с ботами и рекламой)

Сообщение от quwy Тоже давно не проблема подстановки любого исходящего номера, пусть и не за три копейки, как предыдущий вариант.

Сейчас общался с одним из операторов компании, которая предоставляет сервис обратных flash call, он мне сказал, что подмена номера в России недавно была законодательно запрещена на уровне операторов.
Есть у кого надежная информация по этому поводу или просто услугу впарить хотят?

https://rg.ru/2023/02/08/kak-p... omera.html
Вот тут судя по всему описано. Возможно поэтому я вчера ни с одного сервиса не смог дозвониться себе с подменой

0

Сообщение от a13428711 подмена номера в России недавно была законодательно запрещена на уровне операторов

Тем, кто предоставляет подобные сервисы, законодательный запрет до лампочки. Нормальные операторы этим и не занимались.

0

Операторы и не занимались, в статье речь о другом

0

Сообщение от a13428711 Есть перспектива к росту проекта, поэтому хочу заранее попытаться всеми доступными методами обезопасить сервис от спаммеров. Чтоб потом как телеграмм на заре - не превратиться в помойку с ботами и рекламой)

Ну я бы наверно в таком раскладе подождал бы, и как только перспектива будет ясна - сделал бы через смс

0

Сообщение от a13428711 свяязку мобильного телефона и ID мобильного девайса

Т.е. человеку девайс уже не сменить?

0

Сообщение от a13428711 подмена номера в России недавно была законодательно запрещена

Приложение ориентировано исключительно на россиян?

0