Защита от фейковых аккаунтов. Есть идеи?

[yo-blin]

Защиту только от ботов сделать очень легко. А нужна и от фейковых аккаунтов.

Сопбранные "права" в короткий промежуток времени имеют Куммулятивный эффект и многократно умножаются.
Тут и голосование работает
например собравший 100 "прав" за сутки получает 1000, а собравший те же 100 за больший срок  - ровно 100.

Не до конца понял - к чему приведет преимущество быстрых над медленными?

1. Если каждый фейк стоит денег/ресурсов то не страшно
2. "голосование" с передачей прав развития системы

[pant-79]

С отпечатками пальцев система не моя. Моей вообще еще нет в природе, если что )) Просто мысли вслух...

Неважно. Палец на ноге. Или парик из васиных волос. Или мне переливание васиной крови сделали.
Ваша система как должна реагировать? Считать меня Васей Пупкиным если во мне действительно течет Васина кровь?

Система не должна реагировать на изменения в биологии субъектов. Это социум и реагировать надо на изменение социальных параметров. Вдарили тебя по голове, ты перестал отличать Жириновского от Зюганова - адью.

1. Если каждый фейк стоит денег/ресурсов то не страшно

Ну вообще, не канает. Нельзя чтобы можно было покупать голоса.

2. "голосование" с передачей прав развития системы

Это не те ли инвайты, про которые я писал в стартовом топике?

[amaclin]

Ну вообще, не канает. Нельзя чтобы можно было покупать голоса.

Ну, это вы, батенька вообще загнули.
Продаётся всё. Если каким-то образом бомж Вася Пупкин получил регистрацию в вашей системе (а почему бы ему не получить?) - то за пузырь он свой доступ может продать.
И против этого нет никаких вариантов. Даже на выборах я могу с помощью его документов и небольшого "макияжа" за него проголосовать. А в интернете воспользоваться его реквизитами и подавно. Опять же - не будете же вы через вебкамеру сканировать сетчатку моего глаза (это опять про генетику)

[pant-79]

Ну вообще, не канает. Нельзя чтобы можно было покупать голоса.

Ну, это вы, батенька вообще загнули.
Продаётся всё. Если каким-то образом бомж Вася Пупкин получил регистрацию в вашей системе (а почему бы ему не получить?) - то за пузырь он свой доступ может продать.
И против этого нет никаких вариантов. Даже на выборах я могу с помощью его документов и небольшого "макияжа" за него проголосовать. А в интернете воспользоваться его реквизитами и подавно. Опять же - не будете же вы через вебкамеру сканировать сетчатку моего глаза (это опять про генетику)

Это вы говорите про внешние факторы, которые не зависят от системы. А я говорил про то, что внутри системы не должно быть заложено таких уязвимостей.

А про алкашей, продающих акк за пузырь - они как-то не совсем укладываются в текущую недемократичную схему. На доказательство легитимности требуется куча времени и общение с кучей людей, а алкашу вот прям щас догнаться надо.

[amaclin]

На доказательство легитимности требуется куча времени

И вот опять всплыло "доказательство" то есть пруф-оф-чтото.
Есть пруф-оф-паспорт - предъяви паспорт и можешь купить сигареты и пиво.
Есть пруф-оф-ворк - произведи вычисления и докажи, что ты не бот.
Есть пруф-оф-хуман - это капча. Введи код с картинки и докажи что ты не робот.
Есть пруф-оф-стейк - покажи содержимое своего бумажника и докажи, что ты не нищеброд.

Так или иначе клиент должен затратить какую-то энергию чтобы решить задачу, а сервер - чтобы проверить решение.
Система может существовать если суммарные затраты окажутся меньше, чем у других существующих систем.

[pant-79]

На доказательство легитимности требуется куча времени

И вот опять всплыло "доказательство" то есть пруф-оф-чтото.
Есть пруф-оф-паспорт - предъяви паспорт и можешь купить сигареты и пиво.
Есть пруф-оф-ворк - произведи вычисления и докажи, что ты не бот.
Есть пруф-оф-хуман - это капча. Введи код с картинки и докажи что ты не робот.
Есть пруф-оф-стейк - покажи содержимое своего бумажника и докажи, что ты не нищеброд.

Так или иначе клиент должен затратить какую-то энергию чтобы решить задачу, а сервер - чтобы проверить решение.
Система может существовать если суммарные затраты окажутся меньше, чем у других существующих систем.

Ну, кто-то тут на форуме утверждал, что суммарные затраты на сеть биткойн гораздо выше, чем на другие платежные сети. Однако, сеть живет и здравствует.
Система может существовать, если на нее есть спрос и если она имеет адекватный порог вхождения.
Переться с паспортом - неадекватный порог вхождения. Капча - да, адекватный.

[amaclin]

Ну, кто-то тут на форуме утверждал, что суммарные затраты на сеть биткойн гораздо выше, чем на другие платежные сети.
Однако, сеть живет и здравствует.

Тонкий намёк на меня? Утверждал и утверждаю.
Я начал "бузить" примерно 3 месяца назад - то ли в конце сентября, то ли в начале октября
Когда меня спрашивали - когда биткойн умрет, я взял с потолка значение "полгода".
Пока всё предсказанное наблюдается. Осталось еще три месяца чтобы всем стало ясно.

Переться с паспортом - неадекватный порог вхождения. Капча - да, адекватный.

Русская народная поговорка - и рыбку съесть, и на хуй сесть.
Потому паспорт и является хорошей (но не 100%-ной защитой идентификации), что туева хуча бюрократии, милиции, проверок...
Сатоши переложил все эти проверки на общество, но не устранил их.

[UraN]

Это все не решает проблему достоверного голосования никаким боком.

Когда можно "намайнить" голоса - это лишает систему голосования смысла.

Кстати, вот публикация навела на новую идею:
Удостоверять аккаунт двухфакторно - через смс или еще что-то такое. Минус смс - централизация, но он в этом случае настолько мал, что его можно не учитывать...
Если объединить смс еще с каким-то способом, можно добиться довольно высокой достоверности.

Пусть регистрирующийся заплатит на сбер, через пару дней сервер автоматом вернет перевод откуда пришел. Анонимность нарушится, а она нужна? Если нужна, то btc

[pant-79]

Это все не решает проблему достоверного голосования никаким боком.

Когда можно "намайнить" голоса - это лишает систему голосования смысла.

Кстати, вот публикация навела на новую идею:
Удостоверять аккаунт двухфакторно - через смс или еще что-то такое. Минус смс - централизация, но он в этом случае настолько мал, что его можно не учитывать...
Если объединить смс еще с каким-то способом, можно добиться довольно высокой достоверности.

Пусть регистрирующийся заплатит на сбер, через пару дней сервер автоматом вернет перевод откуда пришел. Анонимность нарушится, а она нужна? Если нужна, то btc

В итоге это не будет стоить атакующему ни копейки. Или вы предлагаете привязываться к счету в Сбере?

[UraN]

Ну, ФИО раскрыть перед сайтом придется, там же высвечивается чей платеж. Кстати если система большая, будет много повторений фио. В любом случае нужна привязка к чему-то уникальному, что есть у всех. К паспорту например. Или к свидетельству о рождении (они разные бывают) Не обязательно же светить свой пасп, можно хеш с него снять

[pant-79]

Не обязательно же светить свой пасп, можно хеш с него снять

Круть ))) Эдак я любой хеш пропишу и скажу, что он от моего паспорта получился )))
Вообще, анонимность и система голосования не очень сочетаются. На этапе регистрации анонимность, скорее всего, придется похерить...

[UraN]

Не обязательно же светить свой пасп, можно хеш с него снять

Круть ))) Эдак я любой хеш пропишу и скажу, что он от моего паспорта получился )))
Вообще, анонимность и система голосования не очень сочетаются. На этапе регистрации анонимность, скорее всего, придется похерить...

Ну да, это подразумевает что вы - гос-во и у вас есть база паспортов. У банков тоже не зря есть базы. Но гос-во же можно попросить чтобы начальники дали  вам базу хешей паспортов по заранее известным строкам, так и закон о персданных не нарушается. Регистрирующийся заполнит форму на сайте, скрипт на странице найдет хеш, хеш отправится на ваш сайт. Не то?

[pant-79]

Не обязательно же светить свой пасп, можно хеш с него снять

Круть ))) Эдак я любой хеш пропишу и скажу, что он от моего паспорта получился )))
Вообще, анонимность и система голосования не очень сочетаются. На этапе регистрации анонимность, скорее всего, придется похерить...

Ну да, это подразумевает что вы - гос-во и у вас есть база паспортов. У банков тоже не зря есть базы. Но гос-во же можно попросить чтобы начальники дали  вам базу хешей паспортов по заранее известным строкам, так и закон о персданных не нарушается. Регистрирующийся заполнит форму на сайте, скрипт на странице найдет хеш, хеш отправится на ваш сайт. Не то?

А они, конечно, с радостью дадут базу попользоваться любому встречному )))
Такой вариант предполагает взаимодействие в неким централизованным внешним источником, а это оставляет задел для злоупотреблений. Да и пошлет вас госаппарат с вашими запросами куда подальше....

[UraN]

Да не базу паспортов, а обезличенные  хеши с определенных строк! Нужна общественная инициатива по этому поводу. Хотя не дадут, они там изменников родины за каждым углом ищут и участников рублевого рынка  анально карать надумали. Давайте искать способ сделать то же, но без участия гос-ва

[pant-79]

Да не базу паспортов, а обезличенные  хеши с определенных строк! Нужна общественная инициатива по этому поводу. Хотя не дадут, они там изменников родины за каждым углом ищут и участников рублевого рынка  анально карать надумали. Давайте искать способ сделать то же, но без участия гос-ва

Вот-вот. Предлагаю обсудить уязвимости этой схемы:

Итак, разбиваем доказательство легитимности на несколько шагов, разделенных во времени:.
1. Самое простое - докажи, что ты не бот. Если модифицировать эту фишку в сторону решения неких нелогических задач, то в принципе выйдет конфетка.
2. Докажи, что ты не фейк. Например, если ты общаешься в некой соцсети, твою достоверность должны подтвердить несколько людей. Причем, доказательства могут поступать только от неботов, временной интервал между доказательствами должен быть довольно длительным.
3. Докажи, что ты адекватен/соображаешь/сечешь в текущей теме, чтобы твой голос был признан осознанным.

[UraN]

п 3
На некоторых форумах нужно ответить на вопрос по правилам. На других написать статью (хабр). Но это ограничивает расширение системы,  в пользу качества, но в ущерб массовости расширения

п 1

Кошечки не помогут, фейковые аккаунты это люди.

п 2
 Соцсети трудно автоматизировать, нужно читать, в том числе искать в гуглохеше, что писал регистрируемый до регистрации

[pant-79]

п 3
На некоторых форумах нужно ответить на вопрос по правилам. На других написать статью (хабр). Но это ограничивает расширение системы,  в пользу качества, но в ущерб массовости расширения

Забыл сказать. Пункты 2 и 3 выполняются после первичного входа в систему.
Просто пока они не выполнены, пользователь не считается легитимным, а значит ограничен в возможностях. Например, не может голосовать.

[UraN]

Нам нужно качество или уникальное количество?

Целевая аудитория знает крипто тему?

[pant-79]

п 2
 Соцсети трудно автоматизировать, нужно читать, в том числе искать в гуглохеше, что писал регистрируемый до регистрации

Так подтверждают то тебя реальные люди. С которыми ты в этой сети общаешься. Но не сразу, а через длительные временные интервалы (и через кучу сообщений), чтоб наобщаться успел.

Потом, раздалбывание каждого из пунктов по отдельности, это, конечно, хорошо, но не надо забывать, что использоваться они должны в совокупности.

Нам нужно качество или уникальное количество?

Качество должно преобладать над количеством, но от количества совсем отказываться нельзя.

Целевая аудитория знает крипто тему?

Это и необязательно. Главное - дружественный интерфейс прикрутить.

[UraN]

Проще разослать коды приглашения на том ресурсе, где происходит основная коммуникация. Для битка это биттолк и бтсек