如何在互联网上可靠地识别用户？

Question

我知道这是一个很大的。实际上，它可以用于一些社区Wiki。

无论如何，我正在运行一个不使用用户的明确身份验证的网站。公开对所有人开放。但是，由于服务的性质，由于行为不当，需要将一些用户锁定。

我目前正在阻止IP地址，但是我知道许多人有目的地重置其DHCP客户端缓存以使他们的ISP分配新地址。这是事实吗？我认为，对于某些想避免被拒绝访问的人来说，这肯定是一种有利可图的可能性。因此，IPS原来是一种应对此问题的次优方式。但是没有别的，是吗？

MAC地址无法在WAN上生存（从Hop To To Hop？），即使它们这样做了 - 尽管我认为我不比IP更新更容易，但也可能会被欺骗。

饼干甚至是闪光饼干都不是不可能的，因为有很多“教程”如何擦除这些问题，而那些意图在互联网上造成严重破坏的人都非常了解，并且能够符合我将要采取的这种基本措施。

还有什么要依靠的吗？我认为启发式分析 - 从客户端收集可用的数据并与之形成一些钥匙，但没有实施它 - 这是一种选择吗？

Answer 1

您将无法完全阻止决心访问您网站的用户。但是，您可以使他们难以使他们不值得花时间。

Answer 2

由于互联网的性质，这实际上是不可能的。是的，您可以阻止特定的IPS，但是正如您所说，对于平均“ Misbehaver”而言，简单地更改其IP非常容易。甚至MAC地址也可能被欺骗。这就是为什么有这些问题的站点使用身份验证的原因。这是唯一真正的解决方案。

Answer 3

正如其他人所说，这是一个不可能的问题。任何人都可以始终找到另一种方法。这个问题的规范示例是Wikipedia，您可以阅读有关他们在这里采取的各种阻止步骤的信息： http://en.wikipedia.org/wiki/blocking_policy

Answer 4

简单的答案是这是不可能的。正如其他人（包括您自己）已经说过的那样，任何人都决心会找到另一种方法。

您可以阻止IP或使用cookie来阻止休闲麻烦制造者。一个只想在博客评论中发布粗鲁单词的人可能会去其他地方，但不会吓到想要在您的网站上造成麻烦的人，

如果这种不当行为对您来说是一个严重的问题，那么我认为您唯一的追索权是需要对可能受到这种虐待的任何访问权限进行身份验证。

您可以通过使用OAuth来最大程度地减少用户的烦恼，并接受许多不同的提供商，而不是强迫所有用户注册并记住另一组登录凭据。