web-dev-qa-db-fra.com

Comment éviter la fraude au vote en ligne… est SMS vérification de compte trop demander?

Atténuer la tricherie et la fraude électorale dans les concours en ligne…

Nous organisons des concours en ligne de différentes sortes qui impliquent les utilisateurs votant sur les entrées (généralement un vote par utilisateur et par jour). Les prix varient de centaines à des milliers de dollars. Au cours des quatre dernières années, nous avons rencontré un certain nombre de façons dont les gens essaient de tricher et nous avons mis en place des mesures de contrôle dans chaque cas. En l'état, nous utilisons les mesures suivantes:

Authentification
Un utilisateur doit créer un compte et s'authentifier (se connecter). Cela exclut le bourrage de votes anonyme.

Confirmation de l'e-mail
Un utilisateur doit confirmer son adresse e-mail en cliquant sur un lien dans un e-mail système pour confirmer qu'il possède et qu'il a accès à son adresse. Cela exclut la création de comptes en masse à l'aide d'adresses e-mail aléatoires (pas nécessairement valides). Cela ralentit également un peu le processus pour un seul compte, et beaucoup si vous essayez d'en créer plusieurs.

Aucun alias d'adresse Gmail
Les utilisateurs ne peuvent pas utiliser des adresses d'alias instantanées telles que [email protected]. Cela ralentit les tricheurs potentiels.

Mesures supplémentaires
Nous vérifions régulièrement nos inscriptions et nos listes de vote pour les chaînes d'adresses e-mail provenant du même domaine privé ([email protected], [email protected], etc.). Nous recherchons également des noms, des noms d'utilisateur et des "parties locales" similaires des adresses e-mail dans tous les domaines.

Inutile de dire que tout cela est épuisant et devient de plus en plus difficile à étendre. Nous avons besoin d'une solution plus simple pour nous assurer de nous rapprocher beaucoup plus d'une "personne, une voix" dans nos concours, sans surcharger l'utilisateur au-delà des besoins dans le processus.

Vérification des broches SMS

Nous supposons que l'utilisateur type n'a pas plus d'un numéro de mobile. En leur permettant d'envoyer une épingle sur leur téléphone mobile via SMS SMS, nous avons pu vérifier que le compte associé était unique. (Nous n'autoriserions qu'un seul compte par téléphone mobile.) Si l'utilisateur ne possède pas de téléphone portable ou ne reçoit pas le message SMS, il pourra nous appeler pendant les heures ouvrables pour une validation manuelle.

La vérification de compte s'effectue-t-elle par SMS SMS demandant trop d'utilisateurs souhaitant voter dans un concours en ligne? Avons-nous négligé de meilleures solutions?


[~ # ~] mise à jour [~ # ~]

Nous avons décidé de renoncer à la vérification SMS. Au lieu de cela, nous avons un certain nombre de façons de détecter les mauvaises inscriptions et de les éliminer, nous laissant avec (principalement) des comptes dignes de confiance.


MISE À JOUR 2

Après de nouvelles consultations avec des experts en droit des concours, nous avons déterminé qu'un "concours" basé uniquement sur les votes du public n'était en fait pas un concours du tout, car il ne passait pas le test de compétence: les électeurs ne sont pas qualifiés pour juger de la compétence et c'était essentiellement au hasard qui obtiendrait le plus de votes. Ou, pire encore, cela dépendait de l'habileté et des efforts du participant en tant que promoteur, ce qui constituait une "considération" et mettrait le tout à la portée dangereuse d'une "loterie illégale". Pour compenser les facteurs de "chance" et de "considération", nous avons compté les votes pour moins de 50% des résultats et utilisé un panel de juges qualifiés pour déterminer plus de 50% des résultats (dans notre cas, nous avons choisi 40%/60% - vote/jugement). (Pour une référence visuelle sur les concours contre les tirages au sort, j'ai fait un petit explicateur ici: https://pbs.twimg.com/media/BzC5VH2CQAAN-LB.png:large .)

Net-net: en faisant juger plus de 50% du résultat, nous avons atténué les effets de la triche sans avoir à boucher les trous sur les mauvais comportements, gardé le concours un concours et évité une accusation de gérer une loterie illégale.

7
Taj Moore

Tout d'abord, ceux qui veulent tricher trouveront un moyen de le faire même s'ils doivent voter en personne. Tout ce que vous pouvez faire est de le rendre aussi difficile que possible, car même avec la vérification SMS, les gens peuvent avoir plusieurs numéros de mobile, plusieurs numéros Google Voice et presque tous les comptes GMail peuvent envoyer et recevoir SMS avec un numéro de téléphone unique également.

Donc, la plus grande question de tous est:
La vérification via les codes SMS empêche-t-elle plus de votes multiples que le filtrage avancé des e-mails et des adresses IP?
On ne peut y répondre que par des tests, ce qui n'est pas bon marché comme expliqué ci-dessous.

Réponse courte à la question d'origine

Bien que la vérification SMS dans les concours en ligne puisse avoir de meilleures chances de dissuader plusieurs votes par une seule personne, elle a un impact négatif significatif sur l'entreprise et sur l'expérience utilisateur. Une meilleure alternative est de se connecter à un autre service en ligne qui repose déjà sur le principe d'un compte par utilisateur. Pourtant, la ligne de conduite est toujours décidée par le ROI.

Réponse longue à la question d'origine

Ce n'est en fait pas un problème purement UX, car vous modifiez non seulement le processus métier, mais vous y introduisez également des coûts supplémentaires.

Le côté UX du problème est facile. Vous créez une forme de CAPTCHA, une étape gênante supplémentaire dans le processus conçu pour empêcher les comportements indésirables. Votre situation diffère des utilisations traditionnelles de CAPTCHA en ce que 1) le comportement indésirable cause des dommages importants à la qualité du système et que 2) SMS éloignent les utilisateurs du produit. De plus, en fonction de votre SMS fournisseur de portail et le volume des messages, cela peut prendre plusieurs minutes pour recevoir le code. Cela entraînera probablement l'abandon des votes à mi-chemin et une augmentation de la frustration des utilisateurs conduisant inévitablement à une permanence participation réduite aux activités.

Étant donné que l'abandon du vote est le résultat de la nécessité de récupérer le code de vérification d'un autre appareil, la seule façon d'éviter cela est de vérifier les utilisateurs tout en les gardant sur leur ordinateur en utilisant un autre service en ligne. Malheureusement, il n'y a pas de service largement utilisé qui garantit 1 compte par personne. Il y a des gens avec plusieurs comptes Facebook et Google alors que l'adoption de LinkedIn est faible. Ainsi, vous souhaiterez peut-être demander une authentification à chaque fois qu'une personne vote (en plus de conserver un enregistrement d'un compte connecté).

Si vous décidez d'utiliser la vérification SMS après tout, vous devez considérer que SMS ne sont pas gratuits à envoyer et aux États-Unis, ils ne le sont pas gratuitement). recevoir (tajmo, vous êtes basé aux États-Unis, n'est-ce pas?). Par conséquent, vous devez divulguer correctement les coûts, mettre à jour la politique de confidentialité sur le stockage et l'utilisation des numéros de téléphone mobiles des personnes et expliquer aux utilisateurs comment l'ensemble chose fonctionne en anglais simple.

Ainsi, l'analyse métier de la viabilité de cette solution s'appuiera sur un certain nombre de critères:

  • les coûts réels de mise en œuvre de la vérification SMS
  • le volume actuel de tricherie et l'amélioration attendue
  • la valeur réelle de vos prix (c'est-à-dire s'ils nécessitent une telle sécurité)
  • la valeur des prix telle que vos utilisateurs la perçoivent (c'est-à-dire si les prix valent l'effort et le coût de SMS vérification)
  • perte d'utilisateurs actifs et/ou votants

En fin de compte, seul un retour sur investissement positif à partir des critères susmentionnés sera le feu vert pour la mise en œuvre de la vérification SMS.

8
dnbrv

Cela dépend du prix offert.

Pour quelque chose de mineur allant pour SMS pourrait bien être exagérée. Pour un prix majeur, cela pourrait bien être approprié, et je ne vois pas de gens s'opposer si vous offrez quelque chose à la valeur d'un millier de dollars ou plus. Peut-être ne devriez-vous utiliser le numéro que pour une vérification en une seule fois, puis le jeter ensuite pour apaiser les craintes que les gens pourraient avoir à votre sujet en ce qui concerne le spam them.

Une autre alternative consiste à n'autoriser que les entrées de comptes "en règle". La façon dont vous définissez cela dépendra de votre site, mais cela devrait inclure des activités que seul un humain ferait:

  • payer pour quelque chose
  • signaler un message pour spam
  • voter
  • ....

Jusqu'où vous allez avec cela dépend de vous.

1
ChrisF

Je pense que la vérification SMS n'est pas vraiment une bonne idée car peu de gens ont un téléphone portable avec des capacités SMS. De plus, beaucoup de gens ont peur pourrait recevoir du spam (même si elle a déclaré qu'ils ne recevront pas de spam!)

Il serait préférable de demander une adresse (numéro de bâtiment, nom de rue et code postal) utilisée pour à des fins de vérification uniquement car de nombreuses personnes vivent dans des maisons. Le seul inconvénient est que les sans-abri bien ... (c'est assez évident)

1
viclou

Si un compte a suffisamment de valeur inhérente, un utilisateur sera plus susceptible de faire l'effort de le vérifier. La valeur n'est pas nécessairement monétaire (pensez à la réputation d'échange de pile). Si nécessaire, essayez une approche à deux niveaux pour éviter d'effrayer les nouveaux utilisateurs.

Basique non authentifié - nombre limité de votes, durée de vie ou valeur inférieure de chaque vote

Go premium authentifié par l'une des nombreuses méthodes:

  • Code SMS
  • Enregistrer une carte de crédit/effectuer un achat
  • Adresse postale unique (vous pouvez même envoyer un code par la poste)
  • Code téléphonique (appel téléphonique automatisé comme Google Maps Places)
  • Enregistrer quelque chose comme un appareil (convient aux applications mobiles)
  • Faites une certaine quantité d'activité (par exemple des messages sur un forum)

Si l'infraction est si élevée qu'un utilisateur se donne la peine d'utiliser une méthode d'authentification pour chaque compte pour seulement un ou deux votes supplémentaires, vous devrez toujours chercher à fusionner les comptes en double.

J'espère que cela t'aides

1
KCD