如何可靠地识别互联网上的用户？

Question

我知道这是一件大事。事实上，它可能用于某些 SO 社区 wiki。

无论如何，我正在运行一个不使用显式用户身份验证的网站。它是公开的，对所有人开放。然而，由于服务的性质，一些用户因不当行为而需要被锁定。

我目前正在阻止 IP 地址，但我知道许多人故意重置其 DHCP 客户端缓存以使 ISP 为他们分配新地址。这是事实吗？我认为对于一些想要避免被拒绝访问的人来说，这无疑是一个有利可图的可能性。 因此，IP 并不是解决此问题的最佳方法。但没有别的事了，不是吗？

MAC 地址无法在 WAN 上生存（从一跳到另一跳变化？），即使它们存在 - 这些也可能被欺骗，尽管我认为比 IP 更新更容易。

Cookie 甚至 Flash Cookie 都是不可能的，因为有大量的“教程”如何擦除这些内容，而那些意图在互联网上造成严重破坏的人很清楚并且有充分的准备来应对我将采用的这种基本措施。

还有什么可以依靠的吗？我正在考虑启发式分析 - 从客户端收集可用数据并用它形成一些密钥，但还没有达到实现它的程度 - 这是一种选择吗？

Answer 1

由于互联网的性质，这实际上是不可能的。是的，您可以阻止特定的 IP，但正如您所说，对于普通“行为不当者”来说，简单地更改其 IP 是很容易的。甚至 MAC 地址也可能被欺骗。这就是存在这些问题的网站使用身份验证的原因。这是唯一真正的解决方案。

Answer 2

您无法完全阻止决心访问您网站的用户。然而，你可以让他们变得非常困难，以至于不值得他们花时间。

Answer 3

正如其他人所说，这是一个不可能的问题。任何有足够决心的人总能找到另一种方法。这个问题的典型例子是维基百科，你可以在这里阅读他们采取的各种阻止步骤：http://en.wikipedia.org/wiki/Blocking_policy

Answer 4

简单的答案是这是不可能的。正如其他人（包括你自己）已经说过的那样，任何有决心的人都会找到另一种方法。

您可以阻止 IP 或使用 cookie，以阻止不经意的麻烦制造者。只想在博客评论中发表粗鲁言论的人可能会去其他地方，但这不会吓跑那些想在您的网站上制造麻烦的人，

如果这种不当行为对您来说是一个严重的问题，那么我认为您唯一的办法要求对可能遭受此类滥用的任何类型的访问进行身份验证。

您可以通过使用 OAuth 并接受许多不同的提供商（就像 SO 所做的那样）来最大程度地减少用户的烦恼，而不是强迫所有用户注册并记住另一组登录凭据。