厂商为什么不担心验证码碰撞?

2023-01-06 10:35:18 +08:00
 xingL
大部分厂商的验证码都是 6 位及以内验证码,对应的就算百万分之一及以上的猜对概率。百万分之一的确风险很低,但有些厂商的 4 位验证码,如果自动化碰撞 4 位验证码的话,效率应该蛮高的,但好像没人关心这件事?
6674 次点击
所在节点    问与答
56 条回复
wangxiaoaer
2023-01-06 10:37:26 +08:00
这部不是碰撞,这是暴力破解,稍微有点安全意识的都会想办法应对暴力破解吧,起码加个验证码啥的。
murmur
2023-01-06 10:38:17 +08:00
几次错就锁了
bjzhush
2023-01-06 10:39:17 +08:00
有些确实是存在风险的,如果你关注安全领域就会看到过这种拿验证码暴力遍历进入系统的案例。
但是稍微有点风险意识就会控制验证码的验证次数,几行代码就能解决,比如单个用户、单个 IP 在一定时间能,只能验证 10 次,这样你说的风险基本上就不存在了
murmur
2023-01-06 10:40:41 +08:00
另外有高级验证码,qq 或者微博都有,用你的手机发送 xxxx 到 xxxxx ,这样是不能破解的,必须得有注册手机在手
xingL
2023-01-06 10:43:47 +08:00
想暴力登录一个指定账户有难度,但如果有大量的已注册手机号,每天都可以成功暴力登录几个。
justfindu
2023-01-06 10:45:11 +08:00
爆破可能因为时间短, 所以也不是很担心你, 一般验证码 5 分钟算, 百万次就是每秒请求 3333 次.
justfindu
2023-01-06 10:45:59 +08:00
只能说我们服务器撑不住这么多并发. 尴尬
jacy
2023-01-06 10:48:42 +08:00
输错一次或者几次不就要重发了吗
westoy
2023-01-06 10:53:12 +08:00
验证码验证之后不论对错都要重置的
morty0
2023-01-06 10:55:50 +08:00
会有其他维度的保护, 比如发短信提示账号被登录, 检查客户端环境, 生物验证等等
8355
2023-01-06 10:57:51 +08:00
有策略的啊
验证码有效期
单 ip 连续错误次数
单账号连续错误次数
怎么撞啊....换代理 ip 就为了撞个验证码嘛 还不如直接社工库掏一掏来的实在
XiLingHost
2023-01-06 10:58:19 +08:00
允许重试的次数太少了,而且有效时间窗口也小,基本上不可能暴力破解
Felldeadbird
2023-01-06 11:04:41 +08:00
以某些短信验证码来说,10 分钟有效期内,你并发过去可以有效转化为正确请求。
letitbesqzr
2023-01-06 11:11:16 +08:00
输错几次就失效了 要重新发
LaGeNanRen
2023-01-06 11:11:26 +08:00
不是小孩子了,做任何事都有代价和利益的衡量,撞库完了然后呢然后呢?
GTim
2023-01-06 11:12:52 +08:00
你以为验证码碰撞是一次提交不删除,然后就能穷举法,但更多公司其实是,一次提交失败,就要重新获取...碰撞,概率而已
Jooooooooo
2023-01-06 11:15:12 +08:00
你多错几次试试就知道了. 点提交之后, 本次验证码就失效了.

多搞几次就无法再获取验证码了.
chenmobuys
2023-01-06 11:23:13 +08:00
这不是很容易控制吗,不会让你一直重试的
nekoneko
2023-01-06 11:26:16 +08:00
@xingL #5 每个账号被破解的概率是独立的, 哪有每天破解几个这种说法.
ttgo
2023-01-06 11:35:58 +08:00
有很多这种案例。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/906936

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX