Security 在这个活动票务方案中，暴力攻击是可行的选择吗

我计划创建一个门票“通行证”平台。基本上，假设你来到一个特定的城市，你买了几天的“通行证”（你可以免费进入博物馆和其他景点）

现在，困扰我好几天的主要问题是：博物馆工作人员如何验证通行证是否有效？我看到像EventBrite等平台使用条形码/二维码，但这不是一个可行的解决方案，因为我们需要为每个博物馆配备一个好的照相手机来扫描条形码，这超出了预算。所以我想到了一个简单的6个字母的代码，例如：GHY-AGF。有26^6=3.08亿个组合，这是一个很难破解的难题

我在网站上问了一个问题，主要关注的是暴力强迫。然而，我想象有人做这种攻击，如果：他们有权做通行证查找。唯一能够做到这一点的人是：

1） 博物馆工作人员（将有一个安全的用户/通行证应用程序，每天的查询次数限制不超过1000次）

b） 实际客户需要检查其通行证的有效性，这将受到保护，不会像v1那样牺牲用户体验。此外，还将实施费率限制和IP禁令

如果我实施这两项措施，暴力仍然是可行的攻击吗？另外，在使用这种方法时，在安全性方面我是否还缺少其他东西

---

顺便说一句，使用最大长度为6个字符的字符串作为唯一的“通行证”有许多优点，例如，您可以打印“空白”通行证，用户将在其中给出如何获取通行证的说明。在他们付款后，他们将得到一个类似于GAS-GFS的代码，他们可以在通行证上用笔轻松地写下它。这在QR/条形码中是不可能的。此外，工作人员可以在不到10秒钟的时间内检查有效性，方法是在web应用程序中键入有效性，或发送短信检查有效性。如果您知道任何其他类似的便携式系统，那可能会更安全，请告诉我。

暴力强制是稀疏的一种功能。在给定的时间内，有多少代码在多大的空间内是有效的？例如，如果在308M的可能性中，10M是有效的（对于给定的博物馆），那么我只需要大约30次猜测就可以碰撞。如果只有1000个是有效的，那么我需要大约300k的猜测。如果这些值无限期有效，我预计在不到一年的时间内达到1000/天。这取决于他们的价值，以确定是否有人会这样做

整个问题都在数量级左右。你想要尽可能多的钱。7个字符比6个字符好（正好是26个字符）。8个就好了。这取决于攻击者的投入程度和窗口的大小

但这就是你如何看待选择空间的问题

---

更重要的是确保代码不能重复使用，并且仅限于单个场所。在所有类似的问题中，和解（即跟踪发布的内容和使用的内容）比暴力保护更重要。在网上发布一个数字，让每个人都使用它，比进行数百万次猜测要简单得多。

暴力强迫是稀疏的一种功能。在给定的时间内，有多少代码在多大的空间内是有效的？例如，如果在308M的可能性中，10M是有效的（对于给定的博物馆），那么我只需要大约30次猜测就可以碰撞。如果只有1000个是有效的，那么我需要大约300k的猜测。如果这些值无限期有效，我预计在不到一年的时间内达到1000/天。这取决于他们的价值，以确定是否有人会这样做

整个问题都在数量级左右。你想要尽可能多的钱。7个字符比6个字符好（正好是26个字符）。8个就好了。这取决于攻击者的投入程度和窗口的大小

但这就是你如何看待选择空间的问题

---

更重要的是确保代码不能重复使用，并且仅限于单个场所。在所有类似的问题中，和解（即跟踪发布的内容和使用的内容）比暴力保护更重要。在网上发布一个数字，让每个人都使用它，比进行数百万次猜测要简单得多。

这一点。你说得对，在网上发布一个号码，让每个人都使用它。该死，这个。你说得对，在网上发布一个号码，让每个人都使用它。该死