Проект "Свободные голосования" :: Просмотр темы - Обеспечение соответствия пользователя реальному человеку

Схема, которую я вижу, для обеспечения того, что зарегестрированный пользователь системы соответсвует реальному человеку.

Этапы:
1. Пользователь зарегестрировался на сайте - создал логин (уникальный) и пароль. Пароль секретный, знает его только пользователь и сайт. Он передается по сетям, но только по шифрованным каналам. Логин и ппароль обеспечивают ту же безопасность, которая предоставляется сейчас в блогах, социальных сетях и т.п. Такой пользователь голосовать не может.

2. Пользователь идет в организацию, которая выдает электронно-цифровые подписи. Он при свиделелях входит в свой аккаунт, введя логин и пароль, доказывая тем самым, что аккаунт его.

3. Пользователь предъявляет свой паспорт. По номеру паспорта проверяется, что у него нет другого аккаунта в системе.

4. Ему выдается устройтво с экраном, на котором каждую минуту меняется 6-8 значное число. Эти числа очень сложно предсказать, но у организации, выдающей ЭЦП, есть параллельный алгоритм, который выдает такие же числа в те же моменты времени.

5. Пользователь логиниться в ОД с логином, паролем, и числом с экранчика.

Я не готов защищать эту схему детально, просто такой защиты достаточно для банков и даже более простой достаточно. Поэтому думаю, что подтвердить, что у каждого аккаунта есть реальный пользователь, и у каждого пользователя только один аккаунт можно.

Я не хочу спорить на эту тему.

Всё-всё. Я понял, что видите, просто хотел убедиться. Мы сходимся в том, что есть способ решения проблемы того, что у каждого аккаунта есть реальный человек и у каждого человека есть только один аккаунт. Мне этого достаточно.

Вы чрезвычайно все усложняете. Чем вам не нравиться вариант просто получения своей ЭЦП в удостоверяющем центре, который гарантирует ее уникальность в своей базе (гарантирует что один человек не заведет две ЭЦП на свое имя и то что он сможет завести ЭЦП только на свое имя). И после этого человек просто подсовывает эту подпись в нашу систему. И ВСЕ! Его уникальность гарантирована!

Автор:	ameten [ 30 июн 2011, 21:47 ]
Заголовок сообщения:	Обеспечение соответствия пользователя реальному человеку
Просто создам тему, чтобы дать ссылку. Сейчас пост сюда напишу.

Автор:	ameten [ 30 июн 2011, 22:02 ]
Заголовок сообщения:	Re: Обеспечение соответствия пользователя реальному человеку
Схема, которую я вижу, для обеспечения того, что зарегестрированный пользователь системы соответсвует реальному человеку. Этапы: 1. Пользователь зарегестрировался на сайте - создал логин (уникальный) и пароль. Пароль секретный, знает его только пользователь и сайт. Он передается по сетям, но только по шифрованным каналам. Логин и ппароль обеспечивают ту же безопасность, которая предоставляется сейчас в блогах, социальных сетях и т.п. Такой пользователь голосовать не может. 2. Пользователь идет в организацию, которая выдает электронно-цифровые подписи. Он при свиделелях входит в свой аккаунт, введя логин и пароль, доказывая тем самым, что аккаунт его. 3. Пользователь предъявляет свой паспорт. По номеру паспорта проверяется, что у него нет другого аккаунта в системе. 4. Ему выдается устройтво с экраном, на котором каждую минуту меняется 6-8 значное число. Эти числа очень сложно предсказать, но у организации, выдающей ЭЦП, есть параллельный алгоритм, который выдает такие же числа в те же моменты времени. 5. Пользователь логиниться в ОД с логином, паролем, и числом с экранчика. Я не готов защищать эту схему детально, просто такой защиты достаточно для банков и даже более простой достаточно. Поэтому думаю, что подтвердить, что у каждого аккаунта есть реальный пользователь, и у каждого пользователя только один аккаунт можно.

Автор:	Андрей [ 30 июн 2011, 22:20 ]
Заголовок сообщения:	Re: Обеспечение соответствия пользователя реальному человеку
Вы описываете абсолютно нереальную схему. Как вы представляете ее работу на первых этапах популяризации системы? ameten писал(а): Схема, которую я вижу, для обеспечения того, что зарегестрированный пользователь системы соответсвует реальному человеку. Этапы: 1. Пользователь зарегестрировался на сайте - создал логин (уникальный) и пароль. Пароль секретный, знает его только пользователь и сайт. Он передается по сетям, но только по шифрованным каналам. Логин и ппароль обеспечивают ту же безопасность, которая предоставляется сейчас в блогах, социальных сетях и т.п. Такой пользователь голосовать не может. 2. Пользователь идет в организацию, которая выдает электронно-цифровые подписи. Он при свиделелях входит в свой аккаунт, введя логин и пароль, доказывая тем самым, что аккаунт его. 3. Пользователь предъявляет свой паспорт. По номеру паспорта проверяется, что у него нет другого аккаунта в системе. Как проверяется что у него нет другого аккоунта в системе? Любой сможет производить поиск по номеру паспорта пользователей в системе? Вы предлагаете в каждом удостоверяющем центре заставить кого-то что-то делать для нашей системы? Вы крайне оптимистичны. ameten писал(а): 4. Ему выдается устройтво с экраном, на котором каждую минуту меняется 6-8 значное число. Эти числа очень сложно предсказать, но у организации, выдающей ЭЦП, есть параллельный алгоритм, который выдает такие же числа в те же моменты времени. Нам надо будет еще и устройства выпускать для этого? 8-О Ну, это даже уже не смешно. ameten писал(а): 5. Пользователь логиниться в ОД с логином, паролем, и числом с экранчика. Я не готов защищать эту схему детально, просто такой защиты достаточно для банков и даже более простой достаточно. Поэтому думаю, что подтвердить, что у каждого аккаунта есть реальный пользователь, и у каждого пользователя только один аккаунт можно. Вы чрезвычайно все усложняете. Чем вам не нравиться вариант просто получения своей ЭЦП в удостоверяющем центре, который гарантирует ее уникальность в своей базе (гарантирует что один человек не заведет две ЭЦП на свое имя и то что он сможет завести ЭЦП только на свое имя). И после этого человек просто подсовывает эту подпись в нашу систему. И ВСЕ! Его уникальность гарантирована!

Автор:	ameten [ 30 июн 2011, 22:29 ]
Заголовок сообщения:	Re: Обеспечение соответствия пользователя реальному человеку
Я не хочу спорить на эту тему. Очевидно, что вы тоже видите решение проблемы того, что у каждого аккаунта есть реальный человек и у каждого человека есть только один аккаунт. Или не видите?

Автор:	Андрей [ 30 июн 2011, 22:39 ]
Заголовок сообщения:	Re: Обеспечение соответствия пользователя реальному человеку
ameten, вы читаете то что я пишу? В последнем абзаце описан простой метод при котором есть гарантия того что одному пользователю будет соответствовать один человек.

Проект "Свободные голосования" http://gplvote.andyhost.ru/forum/

Обеспечение соответствия пользователя реальному человеку http://gplvote.andyhost.ru/forum/viewtopic.php?f=21&t=39	Страница 1 из 5

Автор:	Андрей [ 30 июн 2011, 22:40 ]
Заголовок сообщения:	Re: Обеспечение соответствия пользователя реальному человеку
ameten писал(а): Я не хочу спорить на эту тему. А зачем вы тогда это пишите? Мы здесь именно для того что-бы спорить и находить лучшие варианты для реализации.

Автор:	ameten [ 30 июн 2011, 23:14 ]
Заголовок сообщения:	Re: Обеспечение соответствия пользователя реальному человеку
Всё-всё. Я понял, что видите, просто хотел убедиться. Мы сходимся в том, что есть способ решения проблемы того, что у каждого аккаунта есть реальный человек и у каждого человека есть только один аккаунт. Мне этого достаточно.

Автор:	Андрей [ 30 июн 2011, 23:18 ]
Заголовок сообщения:	Re: Обеспечение соответствия пользователя реальному человеку
ameten писал(а): Всё-всё. Я понял, что видите, просто хотел убедиться. Мы сходимся в том, что есть способ решения проблемы того, что у каждого аккаунта есть реальный человек и у каждого человека есть только один аккаунт. Мне этого достаточно. В общем, мы с вами сходимся в том что к каждому аккоунту будет привязана именная ЭЦП, выдаваемая доверенным центром, который сам будет обеспечивать соответствие "одна ЭЦП - один человек". Т.е. ЭЦП в системе будет являться основным гарантом того что действия совершает конкретный человек. Кстати, даже логин с паролем при этом иметь не обязательно.

Автор:	РомаЕ [ 19 сен 2011, 14:22 ]
Заголовок сообщения:	Re: Обеспечение соответствия пользователя реальному человеку
Есть один способ решения задачи сформулированной в заголовке темы. Наверное он не очень подходит для данного сайта (чисто площадка для голосования), но в интеграции с другими задачами (обеспечение открытости информации, краудсорсинг и т.п.) он вполне может работать. Решение основывается на "репутации", то есть, на оценке действий пользователя другими пользователями. Ну в качестве примера можно привести stackoverflow.com. Новый пользователь не может участвовать в голосованиях. Он может только делать некоторые полезные для сайта вещи, которые могут оценить другие пользователи и повысить репутацию человека. Таким образом, создание виртуала остается возможным, но при этом является довольно трудоемким процессом, при чем независимо от того, делается ли абсолютно виртуальный человек или используется украденный идентити бомжа. При этом выбрасываются реальные люди которым некогда пастись на сайте. В принципе, на репутацию может также влиять и документальное подтверждение личности с привязкой уникального ID (даже лично другим пользователем, репутация которого позволяет ему доверять, а лучше несколькими - случайно выбранными чтобы не было сговора) например сверить лицо и паспорт через скайп. Но это позволяет с ненулевой вероятностью внедрять в систему агентов с плохими намерениями - которые честно заработают репутацию а потом будут с ее помощью идентифицировать "своих".

Автор:	РомаЕ [ 19 сен 2011, 14:30 ]
Заголовок сообщения:	Re: Обеспечение соответствия пользователя реальному человеку
Андрей писал(а): Вы чрезвычайно все усложняете. Чем вам не нравиться вариант просто получения своей ЭЦП в удостоверяющем центре, который гарантирует ее уникальность в своей базе (гарантирует что один человек не заведет две ЭЦП на свое имя и то что он сможет завести ЭЦП только на свое имя). И после этого человек просто подсовывает эту подпись в нашу систему. И ВСЕ! Его уникальность гарантирована! А где вы возьмете такой удостоверяющий центр? Так-то, конечно, они есть - можно вообще ничего своего не делать, а регистрить, например, ЭЦП от всяких банк-клиентов (они сейчас почти у каждого есть, или могут быть заведены без особенных проблем). Но где гарантия что те, кому это надо, не пойдут и не наделают там тысячи виртуалов - при наличии административного ресурса?

Страница 1 из 5	Часовой пояс: UTC + 3 часа [ Летнее время ]
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/