Wdrażam stronę z płatnościami abonamentowymi.
Zastanawiam się jak można utrudnić życie nieuczciwym użytkownikom (dzielącym się hasłem) przy okazji nie utrudniając życia uczciwym użytkownikom.
Są na to jakieś sprawdzone sposoby?
Można ten proces w pełni zautomatyzować czy bez interwencji administratora się nie obędzie?
Jakie wy macie rozwiązania na tym polu?

Jeżeli użytkownik jest aktualnie online na 2 różnych IP to coś jest nie tak

Czyli jak zaloguje się z tabletu to muszę dostać ban bo jednocześnie jestem zalogowany też na laptopie?

@widmo_91 - nie ma prostego sposobu i musisz to przeboleć.

Wiem, że nie ma prostego sposobu dlatego założyłem ten temat w takim dziale żeby o tym podyskutować.
Co do bana to niekoniecznie myślałem o jakimś algorytmie, który raportował by potencjalne nadużycia i admin jako istotna rozumna podejmowałby decyzję.

Zainwestuj w system oparty o tokeny, tanie to nie jest ale przynajmniej masz pewność że na jedno konto będzie zalogowany tylko jeden użytkownik

Ban + kara finansowa.

Nie sądzę, że od razu ban, ale

jest rozsądne.
Poza tym, po co tablet i laptop powinny mieć to samo IP, jeżeli korzystają z tej samej sieci.

nie jeśli nie są za natem.
Mogę mieć jedno publiczne IP na komputerze i drugie na tablecie z 3G/4G. Mogę mieć również zmienne IP(np. neostrada) i wtedy raz łącze się z jednego IP, a kilka sekund później mogę mieć drugie - w neostradzie zmienia się co najmniej raz na dobę. Idąc dalej tym tropem, mogę mieć internet mobilny, a z powodu słabego sygnału będzie się on co chwile rozłączał i łączył ponownie więc co drugą operację mogę mieć z innego IP

sazian, nie zagłębiajmy się w ten wątek, bo temat nie o tym. Sprawdzanie IP jest sposobem niedokładnym i tylko pobieżnym.

Chłopaki właśnie daliście mi zaj*bisty pomysł na aplikacje ! Dziękuje

Hmm... no cóż raczej będzie to ciężkie do realizacji, bo zawsze się znajdzie ktoś kto będzie kombinował. Najprostszym sposobem jest chyba zapis aktualnej sesji użytkownika. Jeśli ktoś inny zaloguje się z innego urządzenia / przeglądarki pierwszy użytkownik zostanie wylogowany.

Możesz też sprawdzać ilu użytkowników jest zalogowanych jednocześnie na danym koncie i w zależności od tego blokować konta. Ustalić sobie jakiś przedział np do 5 jest ok, 5-10 może być coś nie tak i ewentualnie blokować ręcznie, a powyżej 10 blokować z automatu.

Co do adresów IP to mogą one służyć raczej jako informacja dodatkowa, a nie do bezpośredniego sprawdzania użytkowników.

W twoim przypadku najłatwiej moim zdaniem będzie połączyć system tokenow oraz maksymalną liczbę aktywnych sesji dla danego użytkownika.

Zrob logowanie oparte na koncie Facebook czy Gmail. Ludzie niechetnie dziela sie swoim kontem FB z innymi.

hasła sms dla istotnych operacji

Z sms-em to b.dobry pomysł. Nie wszyscy chcą udostępniać numer.

Oporni w sumie mogą kupić byle jaką kartę za 5 zeta jeżeli jest to warte zachowu