在这次活动票务计划中，蛮力攻击是否可行

Posted 2021-04-06

我计划创建一个票证“通行证”平台。基本上，想象一下你来到一个特定的城市，你买了几天的“通行证”（你可以免费进入博物馆和其他景点）。

现在，困扰我几天的主要问题是：如果通行证有效，博物馆工作人员将如何确认？我使用条形码/二维码看到像EventBrite等平台，但这不是一个可行的解决方案，因为我们需要为每个博物馆提供一个好的拍照手机来扫描代码，这是超预算的。所以我想的是一个简单的6字母代码，例如：GHY-AGF。有26 ^ 6 = 3.08亿组合，这是一个难以破解的坚果。

我在StackExchange security网站上提出了一个关于此问题的问题，主要关注的是暴力强迫。但是，我想有人在做这种攻击时：他们有权进行传递查找。唯一能够做到这一点的人是：

1）博物馆工作人员（将有一个安全的用户/通行证应用程序，每天不超过1000次查询的速率限制）

b）实际客户检查他们的通行证的有效性，这将受到Google ReCaptcha v3的保护，qazxswpoi不会像v1那样牺牲用户体验。此外，还将应用速率限制和IP禁令

如果我实施这两项措施，那么蛮力仍然是一种可行的攻击吗？另外，在使用这种方法时，在安全性方面是否还有其他一些问题？

顺便说一下，使用最大值作为唯一“通行证”的6字符长字符串具有许多便携性方面的优点，例如。您可以打印“空白”通行证，用户将在此处提供有关如何获取通行证的说明。付款后，他们将获得如下代码：GAS-GFS，他们可以在通行证上轻松用笔书写。这对于QR /条形码是不可能的。此外，工作人员可以在不到10秒的时间内检查有效性，方法是在网络应用程序中输入，或发送短信以检查其是否有效。如果你知道这样的任何其他便携式系统，那可能更安全，请告诉我。

答案

暴力强迫是稀疏性的一个功能。在任何给定时间有多少代码有效空间有多大？例如，如果超出308M的可能性，10M是有效的（对于给定的博物馆），那么我只需要~30次猜测即可发生碰撞。如果只有1000个有效，那么我需要更多像300k的猜测。如果这些值无限期有效，我应该会在不到一年的时间内以1000 /天的速度击中一个。这取决于他们有多少值得弄清楚这是否是任何人都会做的事情。

整个问题大约是一个数量级。你想要尽可能多的逃脱。 7个字符将比6个好（确切地说好26倍）。 8会比那更好。这取决于攻击者的投入程度以及窗口的大小。

但这就是你如何考虑选择空间的问题。

更重要的是确保代码不能重复使用，并且仅限于一个场所。在这样的所有问题中，和解（即跟踪发布的内容和使用的内容）比蛮力保护更重要。在线发布数字并让每个人都使用它比制作数百万个猜测简单得多。