厂商为什么不担心验证码碰撞?

2023-01-06 10:35:18 +08:00
 xingL
大部分厂商的验证码都是 6 位及以内验证码,对应的就算百万分之一及以上的猜对概率。百万分之一的确风险很低,但有些厂商的 4 位验证码,如果自动化碰撞 4 位验证码的话,效率应该蛮高的,但好像没人关心这件事?
6674 次点击
所在节点    问与答
56 条回复
wanguorui123
2023-01-06 12:00:23 +08:00
有过期时间吧
xingL
2023-01-06 13:23:09 +08:00
@nekoneko 如果有几万手机号信息,每天差不多可以成功暴力登录几个
xingL
2023-01-06 13:25:36 +08:00
@LaGeNanRen 的确,没有利益也就没人去利用,厂商也会觉得无所谓
284716337
2023-01-06 14:19:45 +08:00
验证码不是输错了就要重新获取验证码嘛,错了几次后都是等待几分钟或者几个小时才能获取了
SenLief
2023-01-06 16:38:30 +08:00
正常的应该有验证才对,比如输入 3 次都错误就要求重新获取。
LaurelHarmon
2023-01-06 16:50:15 +08:00
然后呢,你侥幸破了一次能干啥?验证码本来就不是为了绝对安全设计的,它又不是密码,只是为了防止机器暴力访问设计的,输三次全错就暂时 ban 掉(随机情况下这种概率很大),不就可以实现他的目的了吗?至于你成功了,无非是多爬了几条数据,这个对于系统影响太低了,又不是破了用户的的密码。。。
LaurelHarmon
2023-01-06 16:56:26 +08:00
奥 我看错了,原来是短信验证码,不是图形验证码;
@LaurelHarmon
这个可能考虑到攻击的成本问题,想要通过验证码撞库来登录,你得切换海量 IP 吧,这个成本有点高,但是登上后收益又有点低;
想要搞其他敏感操作(例如转钱)还得加其他验证。顶多偷窥个聊天记录、购物记录、发帖记录,可是你是随机的手机号又不是定向爆破,这信息对你没啥价值。所以不知道干这个有啥用
docx
2023-01-06 17:14:03 +08:00
多撞几次就升级验证了,而且还有时间限制,这概率太低了。银行密码还是静态 6 位呢。
catalysia
2023-01-06 17:23:05 +08:00
我还见过先验密码对不对 再验验证码的呢 这个世界就有很多神奇的人 神奇的人里出点神奇的程序员也不是很神奇
sola97
2023-01-06 17:26:25 +08:00
确实遇到过 4 位验证码还没有加频率限制的 app ,基本可以暴力登录任意一个手机号
littiefish
2023-01-06 18:05:02 +08:00
你没遇到过,今天发送太多,请明天重试?

对,我说的就是大眼夹
Exdui
2023-01-06 18:22:09 +08:00
@xingL #22 你是怎么得出「如果有几万手机号信息,每天差不多可以成功暴力登录几个」这个结论的?
每个手机号获取一次验证码,然后固定填写 123456 这个,总有一个可以碰巧登录进去?
还是每个手机号获取一次验证码,然后从 000000 - 999999 一直猜,直到登录后再继续下一个?
TheCure
2023-01-06 20:23:20 +08:00
Interesting
假设你知道 10000 个手机号, 然后使用的是 4 位数验证码.
那么每次猜不中的概率是 9999/10000, 连续 10000 次不中的概率是
>>> math.pow(9999/10000, 10000)
0.36786104643297046
所以, 至少有一次中的概率是
>>> 1 - math.pow(9999/10000, 10000)
0.6321389535670295
如果我在你登录之后, 转账时再进行一次验证, 那你成功的概率确实可以忽略
honamx
2023-01-06 20:26:54 +08:00
“如果有几万手机号信息,每天差不多可以成功暴力登录几个” 你能成功登录一个比买彩票都难吧。第一有验证频率限制。第二有有效期,大概就 5 到 10 分钟。我想问你哪来的勇气可以暴力登录一个甚至几个?
honamx
2023-01-06 20:29:41 +08:00
而且几万手机号不是同一时间发送,你怎么知道你想验证的是哪个号码?
xingL
2023-01-06 21:32:35 +08:00
@Exdui 假设有一万手机号信息,验证码为 4 位,每个手机号获取 3 次验证码,尝试 3 次,根据楼上 TheCure 的计算,总共尝试 3 万次,成功大约 1.89 次,也就是能登录 1.89 个账号。
xingL
2023-01-06 21:34:45 +08:00
@TheCure 的确,资金安全基本不用担心,我担心的是订单信息、地址之类的个人信息泄露
xingL
2023-01-06 21:37:25 +08:00
@xingL 成功的次数应该是 3 ,3 万次乘以万分之一
iyaozhen
2023-01-06 23:13:46 +08:00
https://iyaozhen.com/a-typical-user-reg-page-sms-verification-logic-flaws.html

《典型的用户注册页面短信验证逻辑漏洞》很早之前写过的一篇博客

正常来说需要图形验证码和短信验证码结合
Chaconne
2023-01-06 23:20:37 +08:00
攻破短信中心,算不算一个办法?很多这类验证码通知类短信都是找一些中小公司合作的

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/906936

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX