Codici QR che non possono essere copiati - possibile?

Questa è una cattiva idea.

Per capire perché, immagina che non ci sia un codice QR, solo una visualizzazione leggibile dall'URL.

Ora, baseresti uno schema di sicurezza per mantenere questo URL segreto? Certo che non lo faresti, è la più alta sicurezza per oscurità.

Se vuoi mantenere l'url abbastanza riservata, fallo senza alcuna procedura avanzata, ma hai bisogno che la tua sicurezza sia sicura anche se tutti conoscono l'URL. Implementa l'autenticazione per l'accesso alla risorsa, non (solo) per l'accesso al nome della risorsa.

No matter what we put in the barcode, we always come up with the same flaw: someone could photograph the qr code, print and rescan.

O semplicemente scansiona una schermata che mostra il codice. Questo non può essere evitato poiché il codice QR è stato creato appositamente per risolvere questo tipo di problemi (stampa errata, trasformazione, rotazione, ecc.).

Non troverai una tecnica per evitare anche le fotografie del codice, dal momento che se riesci a scattare la foto, il lettore non lo sarà.

L'idea che mi viene in mente è:

• Registra i dispositivi autorizzati ad accedere al servizio (deviceid o così)
• Sposta il servizio in un'area VPN, con indirizzi interni che non saranno disponibili da chiunque non possa collegarsi ad esso.

Ciò dipende da come implementeresti la convalida dell'autorizzazione di accesso. Se è semplicemente che ha accesso a una determinata posizione , è necessaria la sicurezza fisica . Ad esempio, è possibile inviare una lettera a un indirizzo personale e richiedere al destinatario di distruggere il codice dopo l'uso. Se ha alcune informazioni specifiche, allora torni alle soluzioni di crittografia. Ad esempio, puoi utilizzare una delle tante soluzioni utilizzate dagli istituti bancari online, come blocchi temporali di numeri o token numerici casuali.

Ciò che non puoi possibilmente proteggere con qualsiasi metodo eccetto il lavoro biometrico (o la convalida umana nel caso di sicurezza fisica), è il fatto che chiunque abbia accesso può semplicemente consegnare quell'accesso a chiunque altro.

Se quella persona che può "fotografare il codice qr, stampare e ripetere la scansione" non ha accesso alla tua applicazione di scansione personalizzata (o una password per usarla), allora sembra che quello che ti serve sia la crittografia.

Quando si utilizzano i codici QR nella modalità di interpretazione del canale esteso (ECI) (dati con valori di byte a 8 bit) è possibile implementare la propria soluzione di crittografia, ad esempio crittografare l'URL utilizzando una password. Quindi solo la tua applicazione sarà in grado di leggerlo, che condivide questa password. Ancora meglio, questa password può essere conosciuta solo dai tuoi utenti, non archiviati nell'app, o archiviata in forma crittografata che viene decifrata quando l'utente fornisce la password per aprire l'app.

Anche le soluzioni asimmetriche potrebbero funzionare se si adatta l'output nel codice QR.

Esistono già app che funzionano in questo modo, vedi qui o qui

Ovviamente l'altro modo è di archiviare il testo in modo confuso applicando le trasformazioni che solo la tua app può invertire, ma questa è l'oscurità.

anche se grezzo potrebbe essere raffinato ma posizionare il codice QR su uno sfondo metallico (come un foglio) in questo modo scanner e fotocopiatrici creeranno un'immagine nera, il dispositivo tenuto in mano utilizza la luce naturale e sembra essere in grado di leggere il codice con facilità.