6位数验证是否安全？

Question

我注意到许多服务和/或平台现在发送6位代码来验证用户操作。通常发送到电子邮件。如果这些数字有6位长&假设您至少有3次尝试输入，那么有1/333的恶意用户能够正确地猜出这些数字。

在我看来很低。这足够安全了吗？

Answer 1

对用于执行某些操作的受损帐户进行安全的验证数字。

因此，如果恶意用户能够破坏帐户，他们还需要破坏用于传输验证代码的通道。

或者猜密码。

猜测代码是如此的不可能，以至于它提供了足够的验证。如果有人试图猜测，则开始进行其他分析，以确定该帐户是否可疑。因此，不仅代码可能被接受，而且代码条目周围的所有元数据都可以用来证明有人猜到了代码。

所以，是的，直到这个方法被证明是不安全的，它是足够安全的。即使是四位数的代码也可以被视为“足够安全”，这取决于免费控件。

Answer 2

如果代码的有效性不受时间限制，并且重试次数是无限的，并且尝试速度非常快，那么不，它并不是真正安全的。

如果尝试的次数限制在3次，并且代码有效5分钟，那么它可能是安全的。

但和往常一样你想保护什么。对于订阅报纸，这是足够安全的。通过三次重试，一个人阅读一篇文章而不付钱的可能性低于30万的1/ 300。作为核发射码的永久存取码，如果不采取额外措施，它可能是不够的。

在我见过这种密码类型的安全的地方，总是有一些额外的措施：

• 前面提到的重试限制
• 有效期限制
• 该代码已发送到一个已知的电子邮件地址(如果您没有请求此代码，请与我们的“帮助”联系)。

等等。