使用 IP 地址来识别您网站上的用户可靠吗？

Question

这是我的情况。我参与了一个创建 P2P 慈善网站的项目，用户可以在该网站上相互联系并互相捐款。由于该网站的性质，我们知道诈骗者将会猖獗。我们有几种预防措施的想法，其中一个想法是将 IP 地址与用户的帐户绑定。这样做的原因是能够检测来自同一 IP 地址的人何时创建多个帐户。

这会可靠吗？为什么，或者为什么不呢？我一直在谷歌上搜索，发现关于这个主题有许多相互矛盾的想法。感谢您提供的任何帮助。

Answer 1

不，它不可靠。因为：

1. 没有专门为静态 IP 地址付费的住宅客户通常会发现他们的地址经常发生变化。我使用的是 AT&T DSL，我看到我的 IP 地址平均每月大约变化两次
2. 人们合法地共享互联网连接，无论他们是在同一办公室中通过 T1 线路使用不同的工作站，还是都已连接到星巴克的同一个 Wi-Fi 热点，都将具有相同的 IP 地址。
3. 与上述相关，移动用户，例如在咖啡店、机场、酒店等使用笔记本电脑连接 Wi-Fi 的用户，他们访问的每个位置都会有不同的 IP 地址。
4. 即使是呆在一个拥有静态 IP 地址的地方的人也可以通过使用代理服务器或 Tor 等代理工具来欺骗您的系统。这使得 IP 限制很容易被绕过。

Answer 2

不会。

许多连接位于 NAT（多人的一个公共网关 IP 地址）后面，或使用 DHCP（经常更改的 IP 地址）。

IP 地址是识别用户的最差方法之一。

Answer 3

不，尤其是因为：

1. 由于 DHCP 租约到期，IP 地址可能会随着时间而变化。
2. 人们从许多不同的位置访问网站，包括家庭、工作、咖啡店等。
3. 当位于 NAT 防火墙或代理服务器后面时，许多人可以共享相同的 IP 地址。

您是否会有很多人注册并有权获得金钱？如果可能的话，我建议使用真人进行手动验证过程。如果不出意外，如果有人参与，您可以声称正在进行尽职调查。

Answer 4

我所在的一个讨论区禁止袜子木偶（即同一用户的多个帐户）。他们没有办法自动检测它们，因为没有办法明确识别它们。 IP 地址被捕获，因为它们可以用来帮助识别袜子木偶，但我知道识别这些地址的过程是费力的、手动的且容易出错。

只有当怀疑有人使用袜子木偶用于恶意或破坏性目的时，才会采取这种做法。就您而言，除了仔细手动监控使用习惯，使用您收集的有关用户的信息尝试识别可疑习惯之外，没有真正的答案。但您也必须接受 80% 的袜子木偶不会被发现的事实，并尽您所能警告其他用户这种可能性。

顺便说一句，您更大的问题可能是Munchausen by Internet，我们也被。

Answer 5

完全不可靠...

1. 拨号的人每次“拨号”时都会有不同的 IP 地址。

2. DSL 用户每次重置或重新连接帐户时都会有不同的 IP 地址，除非他们付费购买静态 IP。

3. 特定 LAN 上的许多用户将共享一个公共 IP 地址。

4. 特定用户可以从家庭、工作、公共热点登录，并且在每个位置拥有不同的 IP。

Answer 6

否：例如，任何公司代理都只有一个外部 IP 地址，因此从网络内部注册的每个人都将显示为具有相同的 IP 地址。

Answer 7

最近的法律案例也许值得一读：http://yro.slashdot.org/story/11/05/03/2020205/An-IP-Address-Does-Not-Point-To-a-Person-Judge-Rules

Answer 8

我从事 ASP 服务的开发工作，最近我们通过了必要的第 3 方安全审核，以获得允许我们为某个政府机构托管数据的状态。因此，如果我可以分享一些我在培训中收集到的信息，也许会有所帮助。

首先，IP 地址可用于帮助您完成想要完成的任务，但它们本身肯定不好。麦当劳的无线网络就是一个例子。麦当劳的每个人都连接到相同的无线网络，并通过 NAT 使用相同的公共 IP 地址，该地址将本地地址（即 192.168.0.xxx）转换为位于其后面的所有计算机的公共地址。 NAT 保留条目，以便知道哪些流量被允许返回网络，以及该流量将流向哪台计算机。

我们发现一个好的安全措施是使用所有 GET/POST 提交中包含的加密会话密钥。该会话密钥包含一个 GUID，它是对当前会话的查找。因此，即使有人破解了您的会话加密，他们仍然需要猜测 GUID 才能找到有效的会话。最重要的是，通过跟踪 IP 地址，如果它突然发生变化，我们可以立即使会话无效（我们还设置了白名单，以防有人对多条互联网线路进行负载平衡，这可能会导致 IP 频繁更改）。 cookie 也可以用来代替 IP 地址跟踪，因为同一 NAT 后面的两个人如果能找到窃取对方会话密钥的方法，就可能互相劫持对方。

加密 cookie 也是加强安全性的好方法。但请确保您使用的是经过尝试和测试的框架，因为它们已经为您解决了已知的漏洞。不管你相信与否，我们的安全公司告诉我们，.NET 已成为他们所知道的顶级安全框架之一。当我听到这句话时，我差点从椅子上摔下来。

Answer 9

个人认为不太靠谱。

主要原因是那些使用共享 IP 的人。这包括从企业内部连接的大多数用户和通过同一 WIFI 集线器连接的家庭用户。

多个用户很可能使用相同的 IP 地址访问您的网站。

除此之外，IP 地址会随着时间的推移而变化，您已经失去了对用户的跟踪。

还值得记住的是，多个用户通常会使用同一台物理计算机。您是否想让一个家庭只有一名成员能够注册等？

Answer 10

作为深度防御方法的一部分，它可能有点用处，但我不会称其为“可靠”。

Answer 11

如果您想识别用户，可以使用cookie。一种解决方案结合使用 cookie、本地存储、闪存和可存储在浏览器中的其他状态信息：http:// /samy.pl/evercookie/

没有什么是 100% 可靠的。这些 cookie 可以由确定的用户删除，或者在某些浏览器中一键删除。最终，在美国以外的许多国家/地区，用户有权不被跟踪。

Answer 12

作为未来的替代方案：全新英特尔® 商用处理器可提供领先的安全性、可管理性和性能

只要浏览器和 CPU 之间的连接不受到干扰（我相信这一点）使用浏览器比使用桌面应用程序面临更大的风险。