Является ли атака грубой силой жизнеспособной опцией в этой схеме продажи билетов

Question

Планирую создать тикет "мини" на платформе. По сути, представьте, что вы приехали в конкретный город, вы покупаете «пропуск» на несколько дней (за что вы получаете такие вещи, как бесплатный вход в музеи и другие достопримечательности).

Теперь, главный вопрос, который беспокоил меня в течение нескольких дней: как сотрудники музея СЧИТАЮТ, если пропуск действителен? Я вижу такие платформы, как EventBrite и т. Д., Использующие штрих-коды / QR-коды, но это не совсем жизнеспособное решение, потому что нам нужно будет получить хороший телефон с камерой для каждого музея, чтобы сканировать код, и это перерасход. Поэтому я думал о чем-то вроде простого 6-буквенного кода, например, GHY-AGF. Есть 26 ^ 6 = 308 миллионов комбинаций, что является крепким орешком.

Я задал вопрос на сайте StackExchange об этом, и главной проблемой было грубое принуждение. Тем не менее, я представляю, что кто-то делает такую ​​атаку, если: у него есть доступ к поиску проходов. Единственные люди, которые смогут сделать это:

1) Персонал музея (для которого будет защищенное приложение пользователя / пропуска и ограничения скорости не более 1000 просмотров в день)

b) Фактические клиенты проверяют действительность своего пропуска, и это будет защищено с помощью Google ReCaptcha v3 , который не жертвует пользовательским опытом, как с v1. Также будут применяться ограничения скорости и IP-запреты

Является ли грубая сила ВСЕМ жизнеспособной атакой, если я реализую эти 2 меры на месте? Кроме того, есть ли что-то еще, что я упускаю с точки зрения безопасности, при использовании этого подхода?

Кстати, используя макс. Строка длиной 6 символов в качестве уникального «прохода» имеет много преимуществ, например, переносимых. Вы можете напечатать «пустые» пропуски, где пользователь будет давать инструкции, как его получить. После того, как они заплатят, им дадут код вроде: GAS-GFS, который они могут легко написать ручкой на проходе. Это невозможно с помощью QR / штрих-кода. Кроме того, сотрудники могут проверить действительность менее чем за 10 секунд, набрав его в веб-приложении или отправив SMS-сообщение, чтобы проверить его действительность. Если вам известна какая-либо другая портативная система, подобная этой, она может быть более безопасной, дайте мне знать.

Answer 1

Грубое принуждение является функцией разреженности. Сколько кодов в любой момент времени действительны из того, сколько места? Например, если из ваших 308 млн. Возможных, 10 млн. Действительны (для данного музея), тогда мне нужно всего ~ 30 догадок, чтобы столкнуться. Если только 1000 действительны, то мне нужно больше, как 300k догадок. Если эти значения действительны неопределенно долго, я должен ожидать попадание в один менее чем за год при 1000 в день. Это зависит от того, сколько они стоит выяснить, если бы это кто-то сделал.

Весь этот вопрос вокруг порядков. Вы хотите столько, сколько сможете сойти с рук. 7 символов будут лучше, чем 6 (ровно в 26 раз лучше). 8 будет лучше, чем это. Это зависит от того, насколько преданы ваши злоумышленники и насколько велико окно.

Но вот как вы думаете о проблеме выбора места.

Гораздо важнее убедиться, что коды не могут быть повторно использованы и ограничены одним местом. Во всех подобных проблемах примирение (то есть отслеживание того, что было выпущено и что использовалось) является более важным, чем защита методом перебора. Размещать номер в Интернете и заставлять всех его использовать значительно проще, чем делать миллионы догадок.