web-dev-qa-db-fra.com

Comment garantir que les utilisateurs ne peuvent pas ouvrir plusieurs comptes?

Je travaille actuellement sur une application Web que les utilisateurs devront normalement payer pour utiliser, mais je veux également offrir une courte période de démonstration (je n'ai pas encore déterminé la durée, mais quelque part entre 1 jour et 1 semaine).

Afin de les empêcher d'utiliser à plusieurs reprises cette démo, j'ai besoin d'un moyen de les identifier dont ils ne peuvent pas obtenir plus facilement (IE, il est trivial d'obtenir plus d'adresses e-mail via gmail. Si vous possédez votre propre domaine, vous pouvez avoir une adresse e-mail catchall sur le domaine.)

Les possibilités que j'ai envisagées sont:

  • Numéro de téléphone
  • Adresse IP
  • Numéro de Carte de Crédit

Les avantages et les inconvénients auxquels j'ai pensé:

Numéro de téléphone

  • Pro: Je ne connais pas de moyen facile d'en obtenir plus. Vous auriez besoin d'acheter plus de numéros, mais les numéros coûtent plus cher que mon service, donc je ne peux pas imaginer que quelqu'un fasse cela.
  • Con possible: demander cela dérangerait-il les utilisateurs? Vais-je finir avec moins d'inscriptions parce qu'ils ont l'impression que ce sont des informations trop privées?

Adresse IP

  • Pro: Je peux l'utiliser sans même en informer l'utilisateur.
  • Pro: Il n'y a aucun moyen qu'ils l'oublient.
  • Pro: Similaire aux numéros de téléphone, obtenir plus d'adresses IP coûte plus cher que mon service.
  • Con: plusieurs utilisateurs partageant une seule connexion Internet ne peuvent pas s'inscrire.
  • Inconvénients: les utilisateurs ne peuvent pas se connecter s'ils ne sont pas à la maison.
  • Con: les utilisateurs de cellules ne peuvent pas s'inscrire/se connecter s'ils sont sur Internet cellulaire.

Numéro de Carte de Crédit

  • Pro: Je dois l'obtenir tôt ou tard car je vais les facturer pour ce service lorsque la période d'essai sera terminée.
  • Pro: similaire aux deux ci-dessus, obtenir plus de cartes de crédit n'est pas particulièrement facile.
  • Con possible: demander cela perturberait certainement certains utilisateurs, car cela me dérangerait. Lorsque je m'inscris, je n'ai aucune idée s'il s'agit d'un site Web légitimement utile. Pour autant que je sache, ce n'est qu'une tentative de phishing où ils volent simplement des cartes de crédit.

Je veux donc savoir - quelle est la meilleure façon de laisser les gens se connecter à mon site Web? Étant donné que j'ai la période d'essai au début, je veux m'assurer qu'il y a une petite quantité limitée de connexions qu'ils pourraient éventuellement avoir (idéalement, ils ne peuvent avoir qu'une seule connexion).

Quelqu'un a-t-il déjà dû faire cela? Est-ce que quelqu'un connaît d'autres façons de procéder?

Oh, une autre chose: évidemment, je veux m'assurer que tous les clients potentiels peuvent s'inscrire. En plus d'être dérangeant à demander, les numéros de sécurité sociale ne fonctionneraient pas, car ils sont principalement américains. Mes clients potentiels sont toute personne disposant d'une connexion Internet et d'un moyen de paiement.

loginsignup-signonauthenticationprivacy
24
ArtOfWarfare

C'est un problème difficile que je ne suis pas sûr que quelqu'un ait vraiment résolu, mais voici mes réflexions pour vos 3 solutions.

Numéro de téléphone

Oui, cela peut être un peu personnel ou effrayant, mais j'ai l'impression que ça le devient moins, car les gens utilisent de moins en moins leur téléphone. Vous voudrez être clair que vous ne vendez pas leur numéro de téléphone à une agence de marketing ou qu'ils ne recevront aucune sollicitation. De plus, pour que cela soit efficace, vous devrez vérifier qu'il s'agit bien de leur numéro de téléphone, ce qui signifie un message texte à confirmer ou quelque chose à cet effet pour empêcher les gens de saisir des numéros de téléphone aléatoires qu'ils ne possèdent pas.

Adresse IP

Les inconvénients sont des problèmes assez importants, donc je ne recommanderais pas cela. Ce que je pourrais recommander pour cela, c'est d'utiliser l'adresse IP + les domaines de messagerie privés pour vous alerter des soupçons de plusieurs comptes dans lesquels vous pouvez enquêter. Évidemment, travailler avec le seuil de ceci serait utile.

Numéro de Carte de Crédit

Le numéro CC est compliqué ... vous ne voulez généralement PAS stocker les numéros CC car cela crée une énorme responsabilité pour l'entreprise. En tant que tel, vous utilisez normalement une sorte de service qui fournit un jeton, et soudain, la chose devient très compliquée. À moins que vous n'ayez besoin de le configurer de toute façon pour le paiement de votre service, cela peut demander beaucoup de travail. Cela étant dit, CC n'est pas une mauvaise idée si vous voulez vraiment que seules des personnes un peu plus dévouées à votre produit l'essayent. De plus, pour augmenter le niveau de confort, vous ne pouvez pas demander le CCV (je ne sais pas si cela va bousiller la validation de l'authenticité des numéros).

Honnêtement, je ne pense pas que le simple fait d'envoyer un e-mail entraînera une quantité absurde de freeloaders à utiliser en permanence les essais. De plus, quelqu'un qui fait cela n'achètera probablement jamais votre service de toute façon (ou n'est pas le type de client que vous voulez), mais sans savoir exactement ce qu'est votre service, c'est difficile à dire. Sur les 3 que vous avez ici, je recommande probablement le numéro de téléphone.

15
skwokz

Si vous fournissez un service/produit précieux, il y aura toujours des gens qui essaieront de "tromper" le système et entrer. Fournir une période d'essai gratuite est une norme de l'industrie et au fil du temps, les utilisateurs peuvent s'inscrire à plus d'un essai, mais cela obtiendra vieux rapide.

Je m'inquiéterais moins de garantir des utilisateurs authentiques et me concentrerais davantage sur la fourniture de ce bon contenu. Si vous faites un travail formidable, la plupart de vos utilisateurs l'apprécieront et le paieront.

Une autre idée serait de limiter la quantité de contenu qu'une personne peut consommer même lors d'un essai. Peut-être qu'ils obtiennent 50% du contenu ou 80%, ou peut-être pouvez-vous trouver une autre valeur ajoutée à donner aux utilisateurs payants.

39
Jesse Friedman

Envisagez d'utiliser l'authentification utilisateur fédérée à partir de certains réseaux sociaux comme Facebook ou Twitter. Vous pouvez suggérer à votre utilisateur que votre utilisation des identifiants sociaux est un service pour lui, lui évitant les tracas de se souvenir et de conserver un nom d'utilisateur/mot de passe différent pour votre site. S'ils changent leur mot de passe sur le réseau social, votre site ne répondra automatiquement qu'au nouveau mot de passe. Examinez OAuth comme méthode pour y parvenir.

En tant qu'effet secondaire de l'utilisation d'un réseau social comme base d'utilisateurs de votre sécurité, vous obtenez la protection de chargeur que vous recherchez. La plupart des gens n'ont qu'un seul compte sur chaque réseau social. Les réseaux sociaux utilisent déjà la plupart des techniques que vous avez mentionnées ci-dessus pour éviter leurs propres problèmes de freeloader. Vous devrez toujours suivre les utilisateurs qui ont déjà reçu une semaine gratuite, mais vous pouvez décharger gratuitement les problèmes de détection du chargeur sur un réseau social.

En tant qu'avantage supplémentaire, vous pouvez également demander à vos utilisateurs de faire de la publicité pour vous. c'est-à-dire "Laissez-nous poster un commentaire sur votre utilisation de notre logiciel sur votre mur Facebook, et nous vous donnerons une semaine d'utilisation gratuite."

Modifier pour répondre aux commentaires

Certains hôtes oAuth, tels que les comptes Microsoft Live, n'ont pas de publicité et ont un aspect plus professionnel et professionnel que les réseaux sociaux grand public. Certes, obtenir plusieurs comptes Live est cependant assez trivial, donc il y a un compromis.
Je ne sais pas à quel point il est facile d'obtenir un deuxième compte FaceBook. Je pense qu'ils demandent et testent un numéro de téléphone pendant le processus d'inscription.

J'ai une autre idée qui pourrait vous aider, mais cette réponse est déjà très longue, alors je vais commencer une autre réponse avec la nouvelle idée ...

13
Henry Taylor

Honnêtement, un produit précieux. Vous n'êtes pas le premier à proposer des essais.

Vous effrayeriez plus de clients potentiels que vous n'en économiseriez grâce aux processus de détection de fraude. Si vos clients aiment ce que vous faites, ils le paieront. S'ils utilisent votre logiciel régulièrement et créent toujours un nouveau compte à chaque fois, ils ne peuvent pas ou ne veulent pas se le permettre.

Au lieu d'encapsuler, vous pouvez essayer de les faire entrer. en proposant des offres spéciales aux étudiants, une utilisation gratuite pour les tests, la traduction ou les leaders d'opinion, ...

9
Gustav

Pour l'instant, vous ne devriez pas résoudre ce problème. Non seulement c'est un problème que vous n'avez pas, mais le résoudre trop tôt peut signifier que vous n'aurez jamais le problème. Lemme splain.

Lemme résume. Plus vous essayez de réduire le% de fraude, plus il en coûte pour prévenir chaque cas de fraude. Ce coût correspond au temps que vous passez à prévenir directement la fraude, aux clients perdus en tant que faux positifs et aux efforts supplémentaires que les clients légitimes doivent consacrer à votre protection contre la fraude. À un certain moment, il est plus logique d'autoriser la fraude, de réduire le coût de la fraude et d'essayer de convertir les fraudeurs en utilisateurs légitimes.

Il s'agit d'une toute nouvelle application et vous n'avez aucun client. Vous avez besoin d'utilisateurs et vous en avez besoin pour trouver votre service si précieux qu'ils veulent le payer. Vous devez vous concentrer sur ...

  • Faire passer le mot
  • Des fonctionnalités que les gens veulent
  • Des fonctionnalités que les gens veulent payer
  • Processus d'inscription facile
  • Processus de mise à niveau/paiement facile

Tous les contrôles supplémentaires que vous avez proposés pour empêcher les gens d'abuser des comptes de démonstration (adresse IP, SMS, empreinte de carte de crédit) sont le contraire. Vos utilisateurs ne veulent pas de ces fonctionnalités et ils rendent la connexion plus difficile. Ils réduisent le nombre de nouveaux utilisateurs essayant votre truc dans une période où vous avez besoin d'autant de nouveaux utilisateurs que possible. Je n'ai pas de chiffres, mais cela ferait un test A/B intéressant!

C'est ce que j'aime appeler le problème "ce qui se passe quand j'ai un million de clients". Résolvez-le quand vous l'avez. Jusque-là, concentrez-vous sur ce problème. Parce que c'est un bon problème. Cela signifie que vous avez des tonnes de clients potentiels et que vous êtes tellement utile que les gens veulent tricher pour utiliser votre produit.

Vous essayez de résoudre le problème de l'identification unique d'une seule personne sur Internet sans rendre le processus de création de compte trop complexe ou invasif. C'est un problème que personne n'a résolu et c'est celui auquel Internet est incroyablement résistant (je ne parle pas seulement des personnes, je veux dire du design). À moins que vous n'ayez un jardin clos (Google Play, iTunes Store, Steam), l'industrie et les clients ont opté pour la validation des e-mails comme compromis. Tout le reste est soit trop de travail (carte de crédit, SMS), a trop de faux positifs (adresse IP unique), ou exclut trop d'utilisateurs (carte de crédit, SMS validation).

Regardons les cartes de crédit. Premier problème: tout le monde n'en a pas! Et je ne parle pas seulement des jeunes de 14 ans, % des personnes aux États-Unis n'ont pas de carte de crédit . Deuxième problème: tout le monde ne veut pas le donner juste pour avoir un compte gratuit juste pour savoir s'il veut payer. Troisième problème: cela complique le processus de création de compte: numéro de carte de crédit, date d'expiration, CVV, adresse, nom réel ... ceci en plus de l'adresse e-mail habituelle, du mot de passe et de la validation de l'e-mail. Quatrième problème: 35% des personnes aux États-Unis ont trois cartes ou plus et peuvent facilement contourner votre protection.

Lorsque vous avez un problème qui ne peut pas être résolu, il est temps de réfléchir au problème. "Assurez-vous que les utilisateurs ne peuvent pas s'inscrire pour plusieurs comptes" ... en quoi la résolution de ces problèmes aide-t-elle votre entreprise? Ils vous "volent" quelque chose, non? Ça doit être mauvais? À moins que ces comptes de démonstration ne vous coûtent beaucoup en informatique, en stockage ou en support client, ils ne volent rien. Que voulez-vous vraiment? Vous voulez vraiment que les utilisateurs qui abusent des comptes de démonstration paient pour un compte. "Incitez les utilisateurs à payer pour un compte plutôt que de créer plusieurs comptes de démonstration" . Bingo. Voilà le problème à résoudre.

Ces personnes aiment tellement votre produit qu'elles sont prêtes à faire l'effort de contourner le système pour continuer à l'utiliser gratuitement. Ce ne sont pas des criminels à punir, ce sont des patins bon marché passionnés . Il y a plusieurs solutions au problème ...

  • Augmentez l'effort pour créer un deuxième compte démo.
  • Diminuez la valeur d'un compte de démonstration.
  • Augmentez la valeur d'un compte payant.

Faites en sorte qu'il ne vaille pas la peine de tromper le système en travaillant aux deux extrémités. Si l'utilisateur obtient beaucoup pour 5 $/mois, il sera moins susceptible de faire l'effort de créer plusieurs comptes de messagerie pour continuer à renouveler les démos.

  • S'ils représentent un faible pourcentage de vos utilisateurs, ignorez-les.

Ils ne veulent pas payer? Bien. N'essayez pas d'obtenir du sang d'une pierre. Assurez-vous simplement que vous ne dépensez pas beaucoup de ressources sur ces comptes de démonstration.

  • Rendre les utilisateurs gratuits précieux pour le système.

Ceci est illustré par le modèle freemium où un très faible pourcentage des utilisateurs paient la plupart de l'argent. Tout le monde joue gratuitement. Les utilisateurs gratuits "paient" en fournissant du contenu aux utilisateurs payants. Cela fonctionne mieux dans les applications sociales et les jeux multijoueurs. TechCrunch a une bonne ventilation .

  • Faites la transition du gratuit au subtil payant.

Au lieu de couper l'utilisateur et d'exiger de l'argent à une date ou une limite de fonctionnalités arbitraires, amadouez l'utilisateur de plus en plus profondément dans le système et fournissez-lui des limites souples qu'il peut éliminer avec de l'argent. Par exemple, dans Rift, un MMO de type Warcraft, au lieu d'avoir une limite de niveau, les utilisateurs gratuits ont un inventaire limité et ne peuvent pas utiliser la salle des ventes. Freshbooks, un site de facturation, limite les clients gratuits à seulement trois clients. Ces limites permettent à l'utilisateur de s'investir et de décider quand il est lu pour les éliminer.

La bosse UX obtient les informations de paiement de l'utilisateur. Une fois qu'il est dans votre système, ils peuvent acheter des articles en quelques clics et les obstacles à la dépense sont tombés. Dépenser seulement 5 $ dans Rift déverrouille de nombreuses fonctionnalités petites mais importantes, comme la maison de vente aux enchères. Dans Freshbooks, si j'ai beaucoup de clients, je gagne de l'argent, donc payer pour un système de facturation semble naturel.

9
Schwern

Je pense qu'il n'y a pas de vraie solution à votre problème. Cela peut être difficile à entendre, mais il n'y a aucun moyen de gagner en sécurité sans sacrifier votre expérience utilisateur. Au lieu de cela, nous avons juste besoin de choisir le choix "le moins pire".

L'utilisation d'un numéro de téléphone ou d'un numéro de carte de crédit pour n'importe quoi est un motif de rebond immédiat de la plupart des utilisateurs. Si vous regardiez une étude, vous rechigneriez devant le grand nombre d'utilisateurs qui ne donnent pas leur numéro de téléphone (et à juste titre; il n'y a rien de tel que d'obtenir des spams horaires par SMS à partir de numéros aléatoires dans des pays du tiers monde.)

L'utilisation d'une adresse IP est totalement impossible; vous ne gagnerez aucune sécurité même après avoir sacrifié l'expérience utilisateur. Tout idiot peut changer sa propre adresse IP en moins d'une minute, sans même parler à son FAI. Et les experts techniques peuvent utiliser des proxys et des VPN.

Je recommanderais plutôt de limiter l'essai d'une manière ou d'une autre, tout en présentant les avantages de la version complète. De nombreux sites Web et applications le font. Il existe des arnaques Stack Exchange qui vous permettent uniquement de lire le premier paragraphe de chaque réponse, il existe de nombreux programmes de traitement vidéo qui vous permettent uniquement de traiter les 60 premières secondes de la vidéo, les sites de téléchargement de fichiers ne vous permettent de télécharger 1 fichier que tous les 30 minutes, etc. Même cette méthode gênerait vos utilisateurs, mais beaucoup moins que les autres options.

7
Ahauehauehauehu

Nous utilisons la vérification par téléphone qui limite les comptes en double. Nous leur demandons de texte le numéro qu'ils voient à l'écran.

Remarque, nous ne leur demandons pas tout de suite mais nous limitons les fonctionnalités professionnelles qui nécessitent une vérification. Nous avons remarqué un bon taux de conversion des utilisateurs et également moins de comptes en double (car la plupart des utilisateurs ont un numéro de cellule :)

Une chose amusante que nous avons remarquée est que la vérification a baissé lorsque nous avons mis en phrase de confidentialité déclarant que nous ne vendons pas ou ne partageons pas votre numéro (bla bla). Une fois que nous avons supprimé le texte et simplement dit pour plus d'informations, cliquez ici, il a été restauré. Cela nous indique que les utilisateurs sont effrayés lorsqu'ils voient un tel texte.

4
Saikiran Yerram

La meilleure protection sera probablement une combinaison de méthodes.

Pour une première ligne de défense, utilisez des cookies (et/ou une sorte de supercookie). Cela protégera contre les personnes qui utilisent leur propre appareil et ne veulent pas avoir à recharger leur navigateur. Fondamentalement, une fois qu'une personne s'est connectée au service sur un navigateur particulier, ne lui permettez pas de créer un nouveau compte.

L'adresse IP n'est pas une bonne restriction automatisée. Comme d'autres l'ont noté, certains utilisateurs peuvent obtenir une nouvelle adresse à chaque connexion. D'un autre côté, il peut légitimement y avoir plusieurs utilisateurs derrière un proxy ou un NAT. Cependant, c'est quelque chose que vous devez enregistrer et surveiller pour les abus.

Pour les domaines ".edu", vous pouvez probablement supposer qu'un utilisateur appartient à une seule adresse.

Pour Google/Yahoo/Hotmail, il existe peut-être un moyen d'insister sur le fait que le compte est déjà ouvert depuis un certain temps ou qu'il est publié en tant que courrier électronique de contact de l'utilisateur dans un lieu public.

Pour les autres domaines, n'autorisez qu'un certain nombre de comptes d'essai à la fois par domaine.

2
david

L'idéal est de faire des "moyens d'identification" les informations stockées dans le compte lui-même. Exemple simple, si votre application possède des fonctions sociales importantes, un utilisateur gratuit ne voudra pas avoir à passer par un processus de reconditionnement de tous ses amis en utilisant son nouveau compte chaque semaine, perdant la possibilité de voir/modifier des trucs généré par leur compte précédent, etc. Ils paieront pour garder leur compte ou ils partiront.

Bien sûr, vous ne pouvez pas intégrer des fonctionnalités sociales à votre véritable service par la suite juste pour dissuader les utilisateurs gratuits, car ils évitent simplement les fonctionnalités sociales. Mais vous devez penser à tout ce que votre service peut offrir pour que les utilisateurs payants bénéficient de la continuité.

Un autre exemple moins social, World of Warcraft. Ignorant les fonctions sociales, l'avantage de la continuité est vos personnages enregistrés. Ne payez pas à la fin de votre essai, vous devrez recommencer à zéro dans votre nouveau compte. Problème principalement résolu. Au moins, jusqu'à ce que vous ayez besoin d'une authentification à 2 facteurs pour sécuriser les finances de l'utilisateur!

Si votre application est juste un flux d'informations et que les utilisateurs n'ont aucun avantage à stocker des informations (pas même les favoris, les abonnements ou les paramètres personnalisés), alors vous n'avez aucun effet de levier ici.

Une chose à considérer est d'avoir un essai de l'essai, dans lequel vous autorisez simplement les utilisateurs gratuits à créer plus de comptes d'essai. Oui, ils en ont un sur toi, vieux intelligent. Vérifiez vos enregistrements pour voir si vous voyez la création d'un compte série une par semaine à partir des mêmes adresses IP (ou même des mêmes cookies) [*]. Si vous constatez que 95% de vos utilisateurs créent à plusieurs reprises des comptes gratuits, modifiez alors les conditions de l'essai gratuit. Si vous constatez que 1% de vos utilisateurs créent à plusieurs reprises des comptes gratuits, OK, laissez-les. Coût insignifiant de faire des affaires.

N'importe quoi que vous faites (que les utilisateurs connaissent) repoussera certains utilisateurs de l'essai gratuit. Le simple fait que vous deviez vous inscrire repoussera certaines personnes qui, autrement, auraient jeté un coup d'œil, mais je suppose que vous êtes déterminé. Alors ne commencez pas à les repousser plus loin, jusqu'à ce que vous sachiez ce que vous en retirez. Combien d'utilisateurs répétitifs gratuits devez-vous forcer à convertir ou à quitter? Ce pourrait être un non-problème, au moins pour commencer.

[*] Bien sûr, comme pour tous les journaux d'utilisateurs, assurez-vous que vous traitez les données conformément aux lois et réglementations qui s'appliquent à vous.

1
Steve Jessop

La façon dont Netflix semble le faire consiste simplement à demander votre numéro de téléphone lors de l'inscription, puis à exécuter un script à une certaine heure chaque jour (vous ne savez pas quelle heure il s'agit) pour recouper les comptes. Si un compte semble être un doublon d'un autre, un drapeau est levé sur leur système et un humain le vérifie manuellement. S'ils déterminent que le compte est un doublon, ils mettent le compte en attente.

Il s'agit d'une méthode fiable, mais cela signifie que les utilisateurs pourraient être effrayés en demandant un numéro de téléphone.

Si vous envisagez un programme informatique pour accompagner votre site Web, vous pourriez le faire en prenant un numéro de série de quelque chose (comme le disque dur); si le numéro de série correspond à un autre, vous savez que vous en avez un double et vous pouvez mettre le compte en attente.

1
AStopher

Ma réponse n'est pas une réponse directe à votre question, mais pourrait résoudre votre problème.

Permet d'examiner le problème d'une manière différente. Vous donnez accès à la pleine capacité d'un système, mais uniquement pendant une période de temps. Cela revient à donner un aliment très délicieux à une personne qui a faim pendant deux semaines. Soudain, après ces deux semaines, vous dites: OK, il n'y a pas de nourriture. ni délicieux ni normal. Et vous lui laissez faim. Peu importe ce qu'il a de l'argent ou non, il essaiera d'acquérir à nouveau cette nourriture et s'il est possible de l'obtenir gratuitement, pourquoi devrait-il la payer? C'est le début d'une guerre continue et vous ne pouvez certainement pas être le vainqueur absolu. Aucune des options mentionnées ne pourrait vous sauver.

je vous offre une meilleure façon.

Similaire à Dropbox, Google, Microsoft et Act. Vous pouvez fournir un service de base gratuit et à vie (pas une certaine période de temps) à vos utilisateurs. et s'ils veulent plus de fonctionnalités, vous leur offrez de mettre à niveau leur compte vers premium. De cette façon, vous avez une liste de vrais utilisateurs qui ne peuvent pas du tout vous tromper mais qui sont satisfaits de votre nourriture premium ou gratuite.

0
moslem yazdanpanah