security - 减少帐户共享

Question

我们有一个站点，客户(一家公司)将在其中为其员工购买 X 用户许可证。我们遇到的一个大的、反复出现的问题之一是这些公司内部的帐户共享。

我们已经采取了一些措施来缓解其中的一些问题:

我们限制用户一次只能有 1 个 sessionid(强行注销旧的)

我们经常强制用户更改密码(每 4 个月)

网站周围有一些提示和我们发出的电子邮件，提醒用户分享不是关怀

当被抓到时，我们试图“教育”他们不要再犯

但这些措施甚至没有解决问题。许多用户，尤其是小公司的用户(购买 1 个许可证并与 5-10 人共享)只是相互协调，而不是同时使用该站点。可以理解的是，个别员工并不关心，只想做好自己的工作。

管理层要求我们想出一些办法来解决它。

大多数登录来自具有一个 IP 地址的一栋建筑物。所以我们不能简单地通过IP来检测。

大多数用户在附近工作，因此他们可以快速共享信息(密码可以通过电子邮件、短信、电话或只是告诉坐在他们旁边的人)

有没有办法获取MAC地址并使用它？我们可以一次只限制用户使用 2 或 3 台设备(考虑到笔记本电脑和平板电脑)

或者也许使用一些 JavaScript/Cookie 组合？

管理层实际上正在考虑要求我们每 3 或 4 天向他们的手机发送一条短信进行验证。因为我们知道这会有多麻烦，所以我们想要一些更好的东西。

有没有其他人运行具有类似用户条件的网站？你如何处理这个问题？

Answer 1

正如其他人所指出的，这实际上更像是一项商业决策，而不是一项技术决策。

在您描述的当前情况下，帐户共享实际上是一种间接的price discrimination机制:经常使用你的软件并从中获得很多值(value)的公司会为所有员工购买许可证，而那些只是偶尔使用它并且不愿意为它支付太多费用的公司会购买更少的许可证许可证并忍受不便。

如果您让共享帐户变得更加困难，那么后一分割市场的客户将主要以两种方式使用react:他们要么掏钱购买额外的许可证，要么决定您的软件不再值得购买，并且切换到竞争产品或不使用。 (有些人可能还会决定冒险切换到盗版版本，或者决定，即使有额外的威慑措施，他们的最佳选择仍然是像以前一样继续共享帐户。)

您(或者更有可能是您公司的管理层)需要决定新许可增加的收入是否真的足以弥补离开客户造成的收入损失。在某种程度上，这将始终取决于您的市场人口统计数据和竞争程度，但是，我个人的猜测是 “不” .毕竟，您现有的帐户共享客户已经忍受了相当大的不便，如果他们愿意并且能够为您的软件支付更多费用，他们大概不会这样做。

实际上，使帐户共享更加困难的做法是将您的软件的单个许可证对小型、临时和/或贫困客户的值(value)降低。基本上，你会让你的产品变得更糟，并希望客户会购买更多的产品来补偿。虽然这种策略有时确实有效，但通常不是下注的方式。

相反，我的建议是接受帐户共享确实会发生，并调整您的政策和定价策略以适应它。例如，您可以更改您的策略，以便客户可以拥有任意数量的帐户，只要他们中最多只有一定数量的人同时使用该软件。这样，您的定价将更多地基于软件的实际使用情况，而不是需要偶尔访问它的(相对无意义的)人数。

您还可以以非线性定价的形式(即您购买的许可证越多，每增加一个越便宜)或作为额外的奖励，例如更好和/或更便宜的支持服务，为客户提供购买更多许可证的奖励。拥有更多许可证的客户。无论如何，我们的想法是说服那些试图决定购买多少许可证的客户，购买一些备用许可证确实是最简单且最具成本效益的以防万一。一般来说，在这种情况下，胡萝卜往往比大棒更有效。

当然，作为程序员，您个人在此类决定中可能有也可能没有太多发言权。尽管如此，至少尝试将此类担忧传达给您的管理层可能并没有什么坏处，尤其是如果您还可以就如何使您的软件对客户更具吸引力提供具体建议的话。

您可能建议的一件事是试用事件:您的公司可能不愿意仅仅根据推测和来自互联网的随机建议来彻底改革其许可结构，但他们很可能愿意尝试提供一些使用较少的限时许可限制(当然还有更高的价格来弥补)，看看他们是否会出售，特别是如果你能告诉他们这在技术上是可行的。

询问客户的想法也可能不是一个坏主意。一项简单的匿名调查询问您的客户是否共享帐户，以及如果他们无法共享帐户，他们愿意为每个许可证支付多少费用，可能会提供令人大开眼界的体验。