一个有趣的问题，我认为没有一个好的答案。我想说你可以通过多种措施来解决这个问题。基本上没有一种措施可以阻止欺诈，但使用一种组合，您应该能够将欺诈的发生率降低到潜在可接受的水平

• 要求提供身份和地址证明。英国的标准是扫描最近的物理文件。当然这些是可以伪造的，但这是第一步
• 验证地址。向该地址发送一封带有一次性代码的物理信件，并要求将其输入到应用程序中。这提供了某种程度的证明，证明所声称的身份是该地址的居民。
• 对声称地址的身份进行信用检查，并拒绝得分低或没有得分的结果。这张支票提供了一些证据，证明该地址的人已经在那里居住了一段时间。还将提供欺诈指标。此外，如果某人有一段时间没有使用身份（例如结婚时改名），这将显示在信用检查上。
• 这会给您留下诸如家庭成员在同一地址的情况。我想说的是，检查要么需要亲自检查，要么可能使用电话来抓住这个人（即，如果你打电话询问假定的客户，当他们对应用程序一无所知时，这是一个公平的迹象问题 ：） ）
• 如果你真的想要高水平的保证并且你的客户的资料是这样的，他们会接受这种检查（我在想像高端私人银行这样的东西），你可以亲自开会，就像@david-上面提到的 houde 收集了一个生物识别标识符，可以与未来的注册进行比较。

问题在于短语身份本身。

历史上技术上可能

如果不使用某种生物特征验证，就无法做到这一点。理论上，视网膜扫描是唯一的方法（因为您无法更换眼睛 [2010]）。如果你要做一些像验血这样的事情，即使在双胞胎的情况下，他们也会携带相同的 DNA。输血接受者也可以携带他们捐赠者的 DNA。更多关于 DNA 和输血的信息。这一切都是因为在提取 DNA 时使用了某种其他形式的身份证明。做到这一点的唯一方法是在出生时验证房间里有人在出生时采集 DNA、视网膜扫描和指纹。在它被记录的那一刻，它可以被跟踪为可验证的。

仅当房间中的人员已以相同方式进行跟踪和验证时，才会出现这种情况。

如果您要使用指纹扫描，则必须亲自进行另一项可验证的生物特征测试，因为指纹扫描可以用橡皮泥伪造。如果后续比较匹配相同的样本，那么你可以证明你有同一个人，但是如果不进行 DNA 分析并将其与父母的样本进行比较，你就无法从技术上证明他们的真实身份（他们也需要经过验证）。

现实地

亲自进行第 3 方验证是执行此类操作的唯一方法。其他所有交易都可以伪造。这就是为什么缓刑官员会在未事先通知的情况下出现在住所和工作地点，以验证他们所监督的人实际上是否在坚持他们的交易目标。当该人在该位置和不在该位置时会发生这种情况。他们将拍摄他们正在寻找的人的照片身份证，如果他们遇到的人不匹配，或者如果该地点的人说“从未见过他们”，这将立即违反缓刑条款。然而，即使这也可以通过计划来伪造，并且存在误报。

“网站”我猜你的意思是网站？您可能不希望您的网络访问者发生这种侵入性的事情，也就是说，您可以寻找可以直观地验证客户并与第三方进行研究的私人调查员和研究公司。他们通常会随机执行信用检查并目视验证目标。他们可以跟随客户到其他位置，并确定他们是否实际上居住在他们所说的地方。在政府中，这是由外国情报机构处理的。

对于雇主

对于工作，大多数潜在员工必须提供“可验证”的参考资料。这也可以伪造。如果不仔细检查联系信息并进行研究以尝试验证申请中的信息，雇主可能会雇用任何试图在不知不觉中利用公司的人。

例如，“A”公司的某个人想要“B”公司的内部信息。他们在履历表上列出了假公司“C”，而且工作时间很长。他们购买了 4 部一次性电话（或 IP 电话）并将联系人列为假名。其中 3 部电话用于参考。第 4 个数字用作假冒公司“C”的主线。经过初步面试后，该人被录用。如果在检查后几个月没有跟进，就无法知道一次性验证程序是否合法。在高度敏感的行业中，雇佣后的验证跟进应该是标准程序。

在线账户

随着越来越多的在线帐户，手机身份验证正在被使用，因为 1. 大多数人不会携带多个手机 2. 大多数人不共享手机 3. 它将使用与互联网连接不同的服务

这允许公司打电话并与此人交谈以进行验证，您可以跟踪他们的位置并在他们需要为新设备提供新的临时密码时登录。

不过，在线账户公司并不关心奇点。话虽如此，即使这是欺骗性的，因为：

1. 有人可以携带多部手机
2. 他们可以换掉sim卡
3. 预付费手机现在也很便宜

业务验证

我们最近在 Google 地图上更新了我的几个客户的联系信息。谷歌会调用（外包给海外）企业的联系电话，以验证新的企业地址和联系信息。这通常是一次性的口头检查。如果他们亲自到临时办公室进行验证，那么该业务可能看起来是合法的。

几个月后，如果他们要返回更新他们的列表并发现该业务不存在，那么他们可以删除列表。这不是他们的做法。因此，谷歌地图上列出的几家企业要么不准确，要么与同一家公司重复，因为该公司要么关闭，要么搬迁，被另一家公司收购，要么更新了他们的联系信息。一些企业还使用DBA，因此一个地点可能有不止一家公司。

欺诈预防一直是身份管理系统的一个问题。当然，这个问题没有灵丹妙药，但我想提出一些想法。

1. 注册您的服务可能需要对用户进行某种物理验证，然后才能真正使用该服务。这个想法不是完全依赖于用户注册的技术。只有在对申请方的身份证件进行实物验证后，才能由官员创建帐户。仅当您针对的是相对较小的用户群（假设您的服务将仅由来自美国/英国的特定人群而不是全部人口使用）时，这才是可行的，但正如您在其中一个评论中提到的那样是否涉及大量资金，您可能要考虑一下。
2. 假设您的应用程序将提供 n 种不同的服务，您可能希望为最终用户创建信任级别。每个服务都可以要求一定的信任级别，只有满足标准的用户才能使用该服务。信任级别将取决于用户已通过何种验证。经过物理验证的用户将拥有比仅在线注册的用户更高的信任级别。这样，只有需要使用高关键性服务的用户才需要进行更高级别的验证。
3. 您可以根据这些国家/地区公民使用的身份证件（我对此了解有限）定义多个信任级别，当然您需要根据其敏感性对您的服务进行分类
4. 为了处理被盗的身份和密码，您可以使用基于移动设备的一次性密码以及凭据（双因素身份验证）。同样，这将取决于所使用服务的重要性。

ps 我不推荐生物特征认证，除非你是政府。这 是一个您可能会感兴趣的相关讨论。

我需要确保我网站的所有用户都是美国或英国公民，

没有一种方法适用于英国和美国公民。

除非您是英国政府的一员，否则没有任何方法可以在线实现这一目标。您将需要面对面的会议和身份证明（我希望这同样适用于美国公民）。

如果这不符合成本效益，那么您需要改变您的商业模式。