防止 QR“过肩”扫描

【问题标题】:Prevent QR 'over the shoulder' scan防止 QR“过肩”扫描
【发布时间】:2017-01-05 08:07:36
【问题描述】:

对于应用程序(Android 和 iOS)项目,需要先注册,然后才能登录。这是通过使用应用程序中的相机功能扫描相关网页上包含one-time passwordQR code 来完成的。

The flow on web is: see info about app and app store link -> show QR -> set pin code -> confirm.

我想创建一种机制,以避免有人打开注册流程然后离开他的办公桌(例如去办公室喝咖啡)一段时间。否则一些“攻击者”可能会完成 QR 步骤,当原始用户回到他的办公桌时,他会设置一个 pin 并确认。可能没有意识到曾经有一个 QR 步骤。即使“攻击者”不知道 PIN,也会注册错误的设备。所以原始用户将无法使用他的应用程序。

目前有 1 分钟的时间限制。但是二维码可以 重新加载了一个新的 OTP,所以它没有太大的影响。

【问题讨论】:

    标签: android ios web qr-code scanning


    【解决方案1】:

    我不认为这是真的可能,因为 QR 码可以是任意大小,所以我认为没有办法知道 QR 码到底有多近或多远,所以不能真正防止“过肩”。无论如何,如果用户确实走开了,那么就真的没有真正的方法来区分攻击者或真实用户,因为从技术上讲,攻击者可以尽可能接近。

    另外,如果攻击者扫描代码并在用户不在时设置 pin 怎么办?我不认为这是一种非常安全的注册方法,但它会很方便。取决于攻击者实际上可以使用该应用程序做什么,如果它是一个银行应用程序,我不会推荐这个,但如果它是我的小马游戏,我认为回报大于风险。

    【讨论】:

      猜你喜欢
      • 2021-09-02
      • 1970-01-01
      • 2016-08-24
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2013-03-07
      • 2018-07-03
      • 1970-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode