Про идентификацию

До того, как я перебрался в undeadjournal, какое-то время обретался на Я.ру. Помните такую блогоплатформу? В сочетании с Яндекс.Фотками она мне очень даже нравилась. И где обе эти платформы нонче? Эх, ностальгия. Но сейчас не об этом.

У пресловутой Ярушки (впрочем, как и ЖиЖи) в числе прочих была проблема спама в комментариях. "Enlarge your penis", "конопля для ваших попугайчиков" и всё вот это. Да и просто токсичные пользователи, вечно доказывающие что в интернете кто-то неправ. Впрочем, это фундаментальная такая неприятность из того же разряда, что и шлюхи на сайтах знакомств, фирмы-однодневки в юридическом поле и так далее. Ты одного мурзилку банишь, так вместо него десяток новых тут же появляется.

Таким образом, для решения вопроса "на корню" есть два основных варианта: биометрия (и всё что к ней "восходит") либо существенное усложнение процесса регистрации (так, чтобы на создание нового аккаунта уходило бы много времени и сил).

С практической точки зрения это может выглядеть следующим образом (не претендую на полноту и исчерпывающий список).

1. Предъявление паспорта. Не очень подходит для онлайна, да и непонятно как проверять, даже если паспорт с чипом.
2. Предъявление X.509-сертификата. Непонятно только кому из удостоверяющих центров доверять и кто побежит эти сертификаты получать.
3. Предъявление подтвержденного PGP или s/MIME сертификата. Тоже вопросы доверия в полный рост.
4. Внедрение системы инвайтов / поручительства.
5. Аутентификация по номеру мобильного телефона. Неплохо, но затратно для владельца сервиса.
6. Аутентификация по платежу / банковскому переводу. Куча бюрократических сложностей, не все захотят аутентифицироваться подобным способом.
7. Аутентификация посредством аккаунта Google / Apple / Yandex и прочих СберID OpenID. Тут вопрос в том, что на некоторых сервисах типа Google завести аккаунт весьма сложно (по крайней мере, в России), а на некоторых наоборот может быть слишком легко. И какие аутентификаторы выбирать — вопрос остается открытым.
8. При регистрации заставлять решать какую-нибудь сложную задачу наподобие взятия интеграла. Неплохо, но часть пользователей мы сразу "потеряем" (не все умеют брать интегралы). Плюс нонче есть ИИ, которому можно с разной степенью успешности скармливать подобные вопросы.

И это было бы ещё полбеды. Далее возникает проблема, что как правило тот, кому доверяет сервис, и тот, кому доверяют его пользователи — совершенно разные непересекающиеся сущности. В качестве наглядного примера можно посмотреть на эту самую недружественную Великобританию, где не так давно для просмотра прона стали требовать документально подтверждать свой возраст. И таки что? В последние полгода-год там резко возрос спрос на КВНы. То есть пользователи чё-то совершенно не горят желанием проходить идентификацию на всяких там пронхабах и прочих онлифансах. Да что далеко ходить, тут в ЖиЖе-то многие боятся СберID привязывать. И я отчасти понимаю и тех, и других.

Плюс государственные границы, которые сразу же делают неприменимыми большую часть способов идентификации, если сервис хочет работать с пользователями не только лишь из своей страны. Допустим, в России ты как-то извернешься и сможешь проверять валидность сертификата МинЦифры, подпись с "Госуслуг" или будешь требовать для подтверждения перевод на XX рублей YY копеек по СБП. А с пользователем из Гондураса как ты такую же штуку провернешь, если конечно твоя компания называется не "Google"?

Вот и получается, что проблема спама в публичных комментариях как таковая не решается.

Почему я вдруг про неё вообще вспомнил?

Вот допустим, я хочу сделать свой собственный Standalone-бложик. И чтобы посты в нём можно было бы комментировать. Делать без регистрации — со временем появится куча спама. С регистрацией — но как тогда аутентицировать, об кого? Об email — слишком просто. Об что-то другое — неизбежно кого-то потеряешь. Словом, у меня нет ответа на этот вопрос.

Если кто-то думает, что это проблема выдуманная, то вот простой факт. До известных событий 29 декабря 2025 года мне приходилось в ЖЖ держать включенной капчу (captcha) даже для зарегистрированных пользователей. А когда я понимал, что комментирующий меня Вася не является ботом, просто заносил его в список друзей, тогда он переставал видеть капчу. Все остальные способы фильтрации тупо не работали. Видимо, в один непрекрасный момент эта проблема задолбала не только меня одного (но это не точно). И "насильственное" внедрение СберID её таки решило, так что сейчас капчу в ЖЖ я отключил для всех.

Если у вас есть какие-то мысли на тему эффективной идентификации без сопутствующей деанонимизации пользователей в целом либо каким способом лучше регистрировать комментирующих в своём блоге в частности, милости прошу к обсуждению.