人类可读的 GUID

Question

我正在编写一个小系统，通过生成可在我们的网站上兑换 MP3 的优惠券，我可以在演出中出售我乐队的音乐。

代金券需要用户输入的代码。代码需要具有以下品质：

1. 在长度和内容方面具有一定程度的人类可读性，以防止用户感到沮丧和数据输入错误。
2. 给定一个优惠券代码，猜测另一个优惠券代码并非易事。

如果我使用 GUID，我会担心第 1 点。如果我使用递增整数，我会担心第 2 点。两者之间必须有一些快乐的媒介，对吧？我想也许这项工作已经完成，并且有一个理想的解决方案在等着我。如果没有，我想我会使用随机的字母数字字符串，或者可能只有字母（为了清楚起见，不包括 I 和 O），并让应用程序阻止失败 X 次的 IP 地址，这表明可能的蛮力攻击。如果我这样做，字符串的长度和 X 的值会起作用，为什么？

感谢您的帮助！

---

更新：我并没有完全明确该方法：我将生成用于打印的优惠券代码列表，然后在演出后输入“已售”代码。因此，我认为校验和之类的元素没有必要，就像它们在不使用验证服务器的软件密钥中一样。

Answer 1

您可以使用经过英语音节训练的马尔可夫链来创建一个由可发音的胡言乱语单词组成的句子。只需在打印时将生成的句子添加到有效凭证的数据库中（当然，在兑换时使它们失效）。

Answer 2

我会使用您自己的编码方案。除了省略 I 和 O，为了获得最佳可读性，在近同音词集（C/E、M/N）和多音节字母（例如 W）中省略一个字母以外的所有字母也是一个好主意，当然要坚持一个案例。

就长度而言，您可以使用 60 位，外加 4 位校验和。 64 位足以将时间以毫秒为粒度存储数千年，因此对于所有实际用途而言，它是不可猜测的。假设每个字母 4 位，即 16 个字母长。即使是这个长度的一半也可能足够了。

另一种思考方式是汽车牌照的形式：3 个字母和 3 个数字足以覆盖一个相当大的状态，并且往往非常易读。除非您为某人提供一种高速破解代码的方法，否则它们在人类时间尺度上肯定是不可猜测的。

Answer 3

只有 8 个字母数字字母（I 和 O 除外）有 1785793904896 种可能的组合。只要您没有 50 亿张代金券，所有意图和目的都是不可猜测的。

Answer 4

AOL 过去常常使用两个词的随机组合来表示他们发送的 CD。您可以采用相同的方法，只需增加单词的数量即可获得所需的几率。

Answer 5

好吧，如果你真的想要人类可读，你可以使用BubbleBabble。创建一个 Perl 脚本，如下所示：

#!/usr/bin/perl
use Digest::BubbleBabble qw(bubblebabble);
use Digest::SHA1 qw(sha1);
print bubblebabble(Digest => sha1(join(' ', @ARGV))), "\n";

然后向它提供您想要获得输出的任何命令行参数，如下所示：

xogan-nydut-zogiv-kotyn-ledah-taseb-gyhib-tucel-vudul-mykom-mexax

或者，如果 Perl 不是您的偏好，您可以使用 PWGen (also available online 获得如下输出：

aiCee5om Ohxai2is tae3Gael Gaeth7ei ooCh0ish

老实说，这种程度的人类可读性是矫枉过正的； RickNZ 的答案应该可以正常工作（并且非常接近我们为某些软件密钥所做的）。但是 BubbleBabble 很有趣。

Answer 6

5 块，每块 5 个字符就足够了 - 四个块用于“密钥”，第五块作为校验和以确保有效性。当然，不要使用整个键空间。

无论如何，这就是软件序列号的大致布局方式。

Answer 7

嗯，我不知道大多数系统是如何工作的，但我认为定义一个静态数字并将该数字乘以一个随机的其他数字会很简洁。然后，如果大 GUID 是您的静态的倍数，那么您很好。

生产容易，新的不容易猜到（只限短期使用）

int i = 61234;
int j = rand()%99999
long GUID = i * j;

会给你一个电话号码长度的 GUID

虽然只有 99999 次使用！呵呵

Answer 8

最好避免所有元音[*]，从而避免所有脏话。

[*] 如果你是威尔士人，包括 W！

Answer 9

上下文

• 人类可读的 UUID
• 语言无关算法

问题

• 设计一种用于生成“人类可读”UUID (HR-UUID) 的算法
• HR-UUID 应该能够抵御暴力猜测
• 人工输入和调用应该简单明了，不易出错
• 拥有 1 个或多个已知的有效 HR-UUID 在统计上与猜测其他有效 HR-UUID 无关

解决方案

• 使用DiceWare password algorithm。
• 与此线程中提供的其他解决方案相比，此方法通过将问题重新转换为密码生成问题来解决人类可读的 UUID 问题。
• 与此线程中其他地方提供的BubbleBabble 解决方案相比，Diceware 允许您选择每个 UUID 中包含多少元素，具体取决于您希望“掷骰子”的次数......这意味着您可以选择每个 UUID 的熵。
• DiceWare 密码算法解决了生成高熵密码短语的问题，这些密码短语仍然易于人类输入和记忆。

• 以下是 Diceware “UUID”的示例，每个包含六个元素：

  crabmeat-coach-properly-driving-yoga-ferret
  edition-mousy-fabric-budding-book-mortuary
  rickety-uncrown-earful-majority-sublet-evade
  

另见

• XKCD comic promoting DiceWare algorithm
• Codenamize

Answer 10

一个简单的解决方案是调用大多数语言在其字符串类型上的 getHashCode 方法。将字符串设置为您批准的单词列表中的某个单词。然后调用 gethashcode 这将是你的关键。要验证它，请将其与您现有的单词哈希列表进行比较，并可能将其从列表中删除，使其无法再次使用。

Answer 11

我假设您在他们购买优惠券时会收到一个电子邮件地址（您应该）。如果是这样，为什么不通过电子邮件向他们发送一次性 GUID？这样你和他们都有记录，你可以跟踪兑换，你不会冒猜测的风险（或者至少不值得打扰），用户不必记住任何东西，因为它就在那里电子邮件，您无需编写任何代码。

他们会给你电子邮件地址。您通过电子邮件发送 GUID（带有链接）。他们点击链接并获取歌曲。 GUID 使用已在系统中注册，将不再有效。

Answer 12

为什么不直接使用 GUID，然后用不同的字母替换任何有问题的字符（所以 0 变成 'h'，1 是 'q' 等等）。

Answer 13

您可以尝试random letter sequence generator ? 之类的方法。您也可以混合和匹配字母/数字