Одна из причин, почему Вы оказались на этой странице — Вы профессионал! А, значит, уже давно для Вас подготовлено рабочее место в нашей компании.

Узнайте подробности и приходите на работу

О генерации и безопасности кодов

В ходе проведения промо кампаний часто требуются уникальные коды для продукции. И на этапе подтверждения генерации кодов возникает вопрос, а на сколько коды будут защищены от подбора?

Уже на этом шаге необходимо пояснить, что вопрос звучит не совсем корректно, поскольку понятие защиты и безопасности относится к аппаратно-программному комплексу, который будет принимать и обрабатывать коды. Основной же характеристикой генерируемых кодов является вероятность их подбора при последовательном переборе (bruteforce). Кроме основной характеристики есть и дополнительные.

Характеристики генерируемых кодов:

• Вероятность подбора кодов при последовательном переборе [?]
  Вероятность подбора (средняя) – это отношение количества сгенерированных кодов к общему возможному количеству кодов. Для примера предположим, что у нас есть 50 сгенерированных числовых 4-хзначных кода. Общее же количество возможных 4-хзначных кодов – 10000 (от 0000 до 9999). Таким образом, вероятность подбора = 50 / 10000 = 0.0005 или 0.5%. Рекомендуемая вероятность по последовательному перебору – ниже 1%, т.е. на 1 сгенерированный код должно приходиться 100 и более возможных кодов.
  
• Перечень знаков в коде [?]
  Самый простой вариант – использовать числовые коды, вариант с минимальным по количеству знаков в коде – буквенно-числовые коды.
• Взломостойкость алгоритма генерации [?]
  Во-первых, алгоритм генерации не должен быть основан на линейных и нелинейных формулах, которые легко восстановить, зная несколько кодов. Во-вторых, рекомендуется использовать несколько различных генераторов псевдослучайных чисел, поскольку один достаточно предсказуем.

О надежности аппаратно-программного комплекса и безопасности работы с кодами:

Принимающий аппарратно-программный комплекс должен обеспечивать безопасный и надежный ввод кодов:

• При вводе на онлайн-ресурсах необходимо использовать механизмы защиты от последовательного перебора. [?]
  К таким механизмам относят:

  • CAPTCHA – ввод данных с картинок;
  • Блокировка пользователя при вводе N неправильных кодов;
  • Блокировка IP при вводе M неправильных кодов;
• При анализе введенного кода необходимо учитывать и исправлять предсказуемые ошибки пользователя (ноль – буква "о", три – буква "з" и т.д.)
• Web сервер и сервер базы данных должны быть также настроены для безопасной и безотказной работы.

Кроме аппаратно-программного комплекса существует еще одна вероятность срыва промо акции – человеческий фактор. Сгенерированные коды проходят длинный путь – от генерировавшего их человека до человека, который загружает их в печатную машину на фабрике. Необходимо постараться сократить эту цепочку и убедиться в надежности каждого звена этой цепочки, ведь ни один механизм защиты от перебора не спасет от "слитой" базы верных кодов.

Остались вопросы?