Ich möchte Doppelaccounts/-anmeldung verhindern, aber wie?

[Saventi]

Nun, IP-Adressen werden da wahrscheinlich nicht viel bringen, da man diese jedes Mal ändern kann und Cookies kann man einfach löschen. Wie machen es aber größere Browserspiele o.ä.? Da muss es doch irgendeine Möglichkeit geben.

Ich hatte diesen Lösungsansatz: Bei der Registrierung wird die IP-Adresse ausgelesen und in eine Datenbank eingetragen. Um immer die aktuelle IP-Adresse zu erhalten, wird bei jedem Login ebenfalls die IP-Adresse ausgelesen und in die Datenbank eingetragen. Das Problem: Der Benutzer kann beim Accountwechsel & der Registrierung nebenbei die IP-Adresse ändern. Bei der Registrierung ist das allerdings nicht weiter schlimm, da ja bei jedem Login sowieso die aktuelle IP-Adresse übermittelt wird und dadurch wenn beide Accounts sich mit der selben IP-Adresse einloggen zumindest festgestellt werden könnte, dass es sich um Doppelaccounts handelt. Ich denke, dass das auch nicht allzu schwer umzusetzen ist, aber gibt es dafür nicht eine BESSERE Lösung? Oder könnte man meinen Lösungsansatz vielleicht verbessern oder vielleicht so weitere Fehler finden?

Ich verstehe, dass es vielleicht keinen 100%-igen Schutz geben kann, aber zumindest vielleicht hat jemand von euch zumindest eine sehr sichere Lösung.


Gruß, Saventi!

 

[Junkee[]]

Viel mehr als Cookies und IP's gibt es nicht. Aber dieser Thread könnte dir vll. helfen
http://forum.jswelt.de/script-check/51193-browser-fingerprint-id.html
Am besten irgendwie alles miteinander Kombinieren.

 

[Saventi]

Gut, Cookies müsste kein Problem sein, aber wie setzt man das mit der IP am besten um?

 

[ToM80]

Mit der ip ist essig. da z. b. bei größeren betreibern ein und die selbe IP für mehrere Nutzer hergenommen wird.
Somit kann die IP als Anhaltspunkt aber nicht als sicheres Element hergenommen werden.

 

[dkdenz]

Ein User hat ja einen eindeutigen gespeicherten Benutzernamen und Passwort.
Damit meldet er sich an.
Im zweiten Schritt wird ihm ein zweites Passwort dynamisch zugeteilt und gespeichert, bis er sich wieder abgemeldet hat.
Meldet sich der Benutzer nochmals an, existiert bereits der Live-Account mit zugewiesenem Passwort (+ Benutzernamen).
Ein weiteres Anmelden ist somit, im Idealfall, wenn das richtig programmiert wird, nicht mehr möglich.
Soweit mein Gedankenspiel...

 

[Fantasyelf]

Hi,

vielleicht hilft Dir dieses Login-System weiter. Noch ein bißchen modifizieren und es könnte klappen.

 

[Bieber]

man kann Multiaccounts nicht verhindern! Wenn man clever ist hilft der beste Abwehrplan nichts

man kann aber aus den bereits vorgeschlagenen Lösungen etwas recht effektives basteln, nachfolgend noch ein paar Ideen:

- überprüfen ob 2 Accounts mit der gleichen IP kurz hinereinander einloggen
- das selbe mittels Browserfingerprint
- Anwendungsspezifische Verbindungen zw. Accounts überprüfen, z.B. seltsame Handelsbeziehungen in einem Browsergame die immer nur einseitig von Vorteil sind (pushen)


edit: das vorgeschlagene Loginsystem hat einen Nachteil: sollte wirklich ein Angriff gegen die Seite durchgeführt werden, könnte ein Hacker in wenigen Minuten alle Benutzeraccounts der Seite deaktivieren...womit das gesamte Webprojekt zum erliegen kommt --> sowas wie nach "10 Fehlversuchen sperren" sollte man auf keinen Fall einbauen!

 

[ZeitGeist]

Hilft alles nicht. Es geht doch darum zu verhindern, dass eine Person mehrere Accounts hat und nicht das von einem Rechner auf mehrere Accounts zugegriffen wird. Letzteres tritt ja schon auf wenn mehrere Leute sich einen Rechner teilen.

 

[Fantasyelf]

edit: das vorgeschlagene Loginsystem hat einen Nachteil: sollte wirklich ein Angriff gegen die Seite durchgeführt werden, könnte ein Hacker in wenigen Minuten alle Benutzeraccounts der Seite deaktivieren...womit das gesamte Webprojekt zum erliegen kommt --> sowas wie nach "10 Fehlversuchen sperren" sollte man auf keinen Fall einbauen!

Danke für den Tip, Bieber.
Aber dann müßte der Hacker alle Benutzernamen wissen.

 

[Junkee[]]

oder per Bruteforce...

edit: mir fällt gerade ein, dass selbst das nicht unbedingt nötig ist da wahrscheinlich irgendwo intern Ranglisten oder ähnliches ausstehen.

 

[Hache]

eigentlich will ich ja keine so alten Threads ausgraben, aber du kannst (bei JSF zumindest) einige Betriebssystemspezifische Daten auslesen. Darunter auch den (Windoof, usw.) Nutzernamen. Aus diesen Informationen kannst du dir einen ziemlich aufwendig zu umgehenden Schutz basteln

Gruß
Hache

 

[Junkee[]]

das fällt unter die Rubrik Fingerprint ID.

 

[jeko]

Nun, IP-Adressen werden da wahrscheinlich nicht viel bringen, da man diese jedes Mal ändern kann und Cookies kann man einfach löschen. Wie machen es aber größere Browserspiele o.ä.? Da muss es doch irgendeine Möglichkeit geben.

Hallo Saventi,

IP-Adressen sind wie hier schon erwähnt ein wirklich schlechter Anhaltspunkt um Doppelanmeldungen zu erkennen - diese Lösung zieht eine Reihe seltsamer Nebeneffekte nach sich, vor allem wenn deine Benutzer in grösseren Instituten (Schulen, Uni, Geschäft, Public Hotspot, ...) auf deine Seite gehen: hier gibt es mehrere Benutzer, die die gleiche IP-Adresse haben. Einen zu sperren würde alle sperren.

Wie hier auch schon erwähnt, kannst du das aufgrund der technischen Einschränkungen nicht vollständig lösen. Ich denke du fährst besser, wenn du dir überlegst wieso du keine Doppelanmeldungen willst und dann dieses Problem versuchst zu vermeiden. E.g. willst du in einem Browserspiel nicht, dass sich Leute Accounts errichten und sich gegenseitig dann Startressourcen zuschieben; ergo überprüfst du (automatisch natürlich...) die Transaktionen zwischen den Accounts und sollte einer drunter sein, dessen Account regelmässig Zustupf von "neuen" Accounts erhält diesen mal sperren. Je nach Problem musst du dir da halt was einfallen lassen.

Grüsse
Dominique