PHP 客户端 PIN 安全性

Question

我目前正在开发一个系统，该系统具有一个功能，客户可以通过提供 PIN“号码”来查看他们的购买/续订/等详细信息。

由于我们所针对的客户类型，使用的是 PIN 码而不是登录信息。 PIN 印在发送给他们的文件上。

他们提供 PIN 时显示的视图不会显示高度敏感的信息，例如信用卡等，而是不太敏感的信息，例如产品名称、类型、价格、条形码、维修等。

问题在于 PIN。我选择使用随机的 5 个字符 PIN（0-9，a-z A-Z） - 区分大小写。 我将删除一些homoglyphs ('I','1','l','0','O','rn','vv')，因此实际组合的数量实际上更低。

对此我有几个问题：

1. 这种做法可以接受吗？
2. 我是否应该编写一个锁定机制来“禁止”来自具有大量失败尝试的 IP 的流量？*
3. 我应该编写一个错误检查系统（类似于 Luhn 的信用卡号码算法）吗？
4. *我应该使用验证码系统吗？

Answer 1

至于验证码和锁定 - 我会选择验证码，并延迟 1）验证码失败的客户端，以及 2）无效登录：在检查之前，第一次尝试休眠 1 秒，第二次尝试 2 秒，第三次尝试 4 秒, 8 秒后。这不会过多地给普通用户带来不便，但会显着减慢攻击者的速度。不管你做什么，人们会弄错 - 没必要彻底禁止他们。

校验和 - 可能作为第 6 个字符用于检测打字错误，而不是为了安全。

就密码强度而言，这是一个弱密码 - 我不会将其用作only 任何比“分享笑笑猫图片”更强的授权形式 - 考虑更长一个，或者您的客户甚至可能不小心访问了彼此的数据（当发生这种情况时，他们往往会真的不高兴：“你的意思是任何人都可以看到 我的这样的数据？ ！”）。

Answer 2

正在使用 PIN 码而不是登录名 由于类型的信息 我们的目标客户。 PIN 印在发送给他们的文件上。

很奇怪，但是可以这样写。我认为你真的应该重新考虑是否真的有必要。但是，如果我理解正确，您是通过 snailmail 发送文件的吗？例如，是否可以向用户发送 PIN，然后让他们登录 openID(LightOpenID)。我会将其锁定为 Google 的 OpenID 提供商，因为这些帐户是“安全的”。这样，您就增加了另一层安全性。谷歌也使用验证码来验证帐户（使其 “安全”）。

这种做法可以接受吗？

我觉得可以接受，虽然很奇怪。

我应该写一个锁定机制来 “禁止”来自具有大量 IP 的流量 失败的尝试次数？*

我认为你应该编写一个锁定机制，因为暴力破解密码已经很容易完成，但是暴力破解 PIN 可以毫不费力地完成。虽然我不认为你应该通过 IP 来做，因为最终用户可能坐在路由器后面，然后他会被阻止。黑客也可能有一个僵尸网络来执行这些类型的攻击。 感谢stackoverflow.com，我今天读到了HashCash，我也发现它很有趣。也许你可以用它来保护自己免受攻击。

我应该写一个错误检查 系统（类似于 Luhn 在 信用卡号）？

我不这么认为。

我应该使用验证码系统吗？

防止自动攻击的唯一真正方法是验证码，所以我认为你应该这样做。 Google/Twitter/etc 不使用 CAPTCHA，因为它们对用户友好，而是因为这是阻止自动攻击的唯一有效方法。如果您要使用来自 Google 的 OpenID 来实现我的系统，那么您可以跳过这一步，因为 Google 已经为您服务了。

Answer 3

首先，不仅要提供 PIN 码，还要添加一些客户知道的简单信息，例如在蜗牛邮件系统中，您经常需要提供邮政编码。这样就可以分出不知道“共享秘密”的人。

验证码，如果它不是很烦人的话是有道理的，因为它有助于减少机器人的“猜测”尝试。正如 Stefan 所提到的，由于共享 IP，IP 禁止是有问题的。

当表单发布错误时，您还可以根据您的错误检查实施某种“焦油坑”，例如您延迟了传入连接的处理。简单的算法错误检查可帮助您避免对给定 PIN 进行无用的数据库查找。

Answer 4

1) 是的，不过取决于目标受众。 2）有时它是有意义的，有时它由于系统的使用方式以及共享IP号上有多少客户端而不起作用。 3）它会增加什么价值？这不会帮助人们试图找到一个有效的 PIN 码吗？ 4) 取决于目标受众，以及什么样的验证码。

Answer 5

1. 是的，但这取决于信息的价值，如果信息价值很高并且您认为有人可能试图闯入您应该考虑额外的保护措施
2. 如果您要保护的信息具有很高的价值，这可能是个好主意，在这种情况下，您必须警告用户他的可能性有限，同时创建一个日志文件来监控代码输入失败并考虑如果用户在 NAT 后面，很多用户可能使用相同的 ip（例如办公室或学校的所有用户，也像 fastweb 这样的连接为一大群人使用一个 ip）所以不要阻止ip 很长一段时间（每 3-5 次失败 15-30 秒应该足以避免暴力攻击，每次用户第二次失败时都可以加倍），最重要的是，只阻止代码导入而不是整个站点.
3. 它不是必需的，但你可以实现它，正如我所说，它还取决于信息的价值
4. 避免代理和爬虫是个好主意，但我推荐一些不同的方法：使用带有“五加 2 =”或“红苹果的颜色是什么？”之类的问题的图像，它们更难被爬虫理解，但对用户来说更容易理解。

我还建议您使用 mt_rand() 来随机化 pin（比默认随机更有效，它在统计上是正确的随机并且默认集成在 php 中），同形字删除应该是避免错误输入的好方法但我也可能建议使用

之类的分隔符创建更长的代码

 AXV2-X342-3420

所以用户应该明白这是一个代码，并且可以轻松计算剩余的字符数或者他是否输入了错误的代码。

我可能会避免区分大小写的 pin，因为大写字符更容易阅读，即使您清楚地写明代码区分大小写，有些用户只会将其粘贴为小写或大写。

Answer 6

“如果您要推出自己的安全性，you've already failed”的公理在这里适用。

对于您的 5 个字符 [0-9, A-Z, a-z] 引脚，您生成的熵少于 8.27 位 (64 310 = 2^n) . [固定]

攻击者只需不到一天的时间（每秒 1,000 次猜测，which is very slow）就可以破坏您的系统。这可以接受吗？也许对于绕过安全性影响很小的微不足道的系统。

我是否应该编写一个锁定机制来“禁止”来自具有大量失败尝试的 IP 的流量？

IP 可以被欺骗。

我应该写一个错误检查系统（类似于 Luhn 的信用卡号码算法）吗？

这实际上会减少熵中的位数，从而更容易侵入您的系统。

我应该使用验证码系统吗？

如果您觉得需要锻炼。 Captchas have been broken 并且除了作为减速带之外没有任何用处。

更新

不幸的是，对于计算机安全，没有一刀切的解决方案，因为它仍然是一个不成熟（不成熟？）的领域。任何说“哦，做这个，你会没事的”的人都在跳过与安全相关的最基本问题之一。

安全始终是一种权衡

无法访问最终安全的系统。另一方面，最终可访问的系统没有进入障碍。显然，这两个极端都是不可接受的。

作为软件开发人员，您的工作是找到两者之间的最佳平衡点。这取决于几个因素：

1. 用户的技术专长
2. 您的用户愿意忍受安全问题
3. 实施和维护的成本（时间和金钱）（即，更复杂的系统将产生更多的支持电话）
4. 后膛对您的用户和公司的影响
5. 后膛的可能性：你是美国国防部吗？签证？你现在可能受到攻击了。 Bob's Bicycle Shop 位于加利福尼亚州 Ojai 的另一端。

根据您的问题，我认为您正在有效地为他们生成“密码”。如果你把它翻转过来怎么办？将 pin 作为他们的帐户，当他们第一次登录您的系统时，他们必须创建一个密码*，从那时起就需要该密码。

*是的，如果这是一家银行，那么这不是一个好主意。