web-dev-qa-db-ja.com

彼らがオンラインであると言う人が誰かを確認する方法は?

私はオンラインの求人応募Webアプリに取り組んでいますが、応募を送信した人が本人であることをどのように確認するかについての質問が出てきました。

たとえば、Jon SmithがAbe Miesslerの申請を提出することは望ましくありません。

申し込みを送信するために、サイトにプロファイルを作成させることについて説明しましたが、実際には、メールアドレスが必要です。

これが過去に行われたのを見たとき、検証を行う組織はすでにあなたのことを知っています。たとえば、銀行でオンライン口座を作成するには、SSN、郵送先住所、口座番号を知っている必要があるかもしれません。次に、銀行は入力した内容とレコードに記録されている内容を比較して、(完全な世界で)自分が本人であるかどうかを確認できます。

私の状況では、私は誰が申請しているかについて何も知らないので、検証するものは何もありません。

誰かが彼らがそうであると言う人であることを確立するための標準的なアプローチはありますか?

19
Abe Miessler

Identityは可鍛性の高い概念であり、近づくと変形する傾向があります。あなたの説明から私が理解していることは、ランダムなネットワークユーザーから実際の個人に戻っていくつかのアクション(つまり、「求人への応募」)を追跡できるようにしたいということです。ある意味では、加害者を適切に罰するための十分なてこ比があります。または、より正確には、ユーザーにaprioriあなたがwill beユーザーを追跡し、少なくとも比喩的にはひざまずくことができることを説得する必要があります。

どのように問題を取り上げても、その一部は「物理的な世界」(コンピュータ以外)にあるため、困難で費用がかかります。

基本的な「ネットワークユーザー」は着信IPアドレスによってのみ識別されるため、法の長い範囲では実行可能ですが、通常は民間事業体では実行できません。物理的な身元を確認するには、ISPのログファイルを確認する必要があります。これには、令状または繊細な共犯者が必要です。これは外国からの接続に関する問題を数えないと言われています(接続が中国から来たことがわかったら、まあ...あなたは正確に何をしますか?)。

したがって、真の探偵の作業の実行不可能性とコストのために、必要な認証を提供する既存のインフラストラクチャを利用する必要があります。私の最初の考えは銀行についてです。つまり、求職者にクレジットカードで(またはPaypalまたは他の同様の銀行システムを通じて)分の金額(たとえば0.01 $)を支払うように依頼します。これにはいくつかの利点があります。

  • 決済操作は多くの場所に痕跡を残します。
  • 取引が暗示されているので、偽の求人応募を「詐欺」として合法的に認定するのに役立つ可能性があります(弁護士に尋ねると、これは非常に良いことであり、目を輝かせ、少し泡立ちます)。
  • クレジットカード番号は日常的に盗まれますが、それに対して保険をかけることができます。

そして、最後に重要なことを言います。

  • 人々(全体)は、「銀行を台無しにしない」ことをすでに知っています。これにより、検出システムがproactiveになります(ユーザーを認証する必要がありますが、そもそもユーザーがそもそも嘘をつかないようにすることをお勧めします)。

概念的なメモ:あなたが言うように、あなたは「誰が申請しているかについて何も知りません」。それが根本的な問題です。特定するものが何もない場合、適切なID概念をどのように定義できますか(正確には、申請者についてdo知っている:IPアドレスですが、それはそれほど多くありません)。したがって、ソリューションへのパス:申請者にcommitについての情報を提供します。これが、上で説明した銀行ソリューションに関するものです。

21
Tom Leek

他人の身元確認を便乗させることができます。

たとえば、銀行の確認手続きを便乗させるには、名前と請求先住所が記載されたクレジットカード番号をユーザーに要求し、ランダムに選択された少量の金額を現地通貨でそのクレジットカードに入金し、その旨をユーザーに伝えます。彼らがそのアカウントへのアクセス権を持っていることを証明するものとしてどれだけクレジットされましたか。

6
Mike Samuel

実際、そのタイプのサイトにとって興味深い質問です。リファレンスを含め、履歴書をオンラインで提出するオプションがあった同様のアプリケーションをレビューしていました。サイトに登録するにはプロファイルを作成する必要がありましたが、必要なのはメールアドレスだけだったので、その周りのコントロールは非常に制限されていました。悪意のある人物「A」が人物Bの履歴書を現在の雇用主を指し示すリファレンスとともに提出できるという点が指摘されました。これにより、参照のために連絡がとられたときに、現在の雇用主に問題を抱えている人Bを困らせることになります。良い答えがあるかどうかはわかりません。これは、オンラインIDに関する一般的な幅広い質問の一部であり、時間が経つにつれ、ますます重要になると思われるからです。たとえば、他の誰かが私のためにアドレスを作成しようとして疑わしい目的でそれを使用する場合、評判の低下から身を守るために、考えられるすべてのプロバイダーと私の名前のバリエーションに私のメールアドレスを登録する必要がありますか?私が実際に[email protected]である場合-他の誰かが[email protected]を登録し、私になりすましているのを阻止するにはどうすればよいですか?そして、誰かが私の名前でFacebookプロフィールを作成し、それに関係のないコンテンツを載せ始めたら、ソーシャルネットワーキングはどうでしょうか?

5
Marion McCune

電話番号に対してユーザーを確認できます。電話は 本人確認 で最も一般的に使用される認証デバイスの1つです。 TeleSignは、さまざまな電話ベースの識別および認証製品を提供しています。彼らのウェブサイトを閲覧して、彼らの製品のいくつかに慣れてみませんか?彼らはあなたがチェックアウトできる彼らのウェブサイトにデモさえ持っています!

3
John White