Qual è la sicurezza del codice casuale per l'autenticazione dei prodotti?

Aggiunta alla risposta eccellente di Steffen Ullrich ...

C'è un'opportunità per un utente malintenzionato di estrarre i numeri validi dalla merce invenduta e quindi restimare quei prodotti in modo che sembrino non utilizzati. L'utente malintenzionato può quindi utilizzare questi numeri piratati su prodotti contraffatti.

Probabilmente ciò sarà redditizio solo per oggetti costosi (ad esempio: redditizio per abiti firmati, ma non per una lattina di coca cola) in quanto è un attacco relativamente costoso e manuale. Devi ottenere i prodotti invenduti, grattare l'argento, registrare il codice, rileggere l'oggetto (gli adesivi sono prontamente disponibile ), rimetti l'articolo nel canale di vendita originale e poi vendi il tuo articolo prima che l'originale sia venduto in modo che il codice sia ancora valido.

EDIT: Aggiunta menzione dell'utilità di attacco per articoli costosi basata sul commento di @ SteffenUllrich.

Dalla descrizione che ho visto finora c'è un numero di 16 cifre associato a una descrizione del prodotto e scadono i dati. Dato che la descrizione del prodotto è molto più lunga di questa, questo numero è solo la chiave in qualche database, quindi può essere un numero casuale.

Dato che i produttori devono aggiungere questo numero in qualche modo al loro prodotto, probabilmente acquisteranno una grande quantità di numeri unici pre-assegnati e una volta che il produttore ha associato un numero specifico con un prodotto specifico e una data di scadenza (e forse più informazioni) invierà questi dati insieme al numero pre-assegnato. Una volta che il numero è associato al prodotto, è possibile che il binding non venga più modificato, vale a dire che i numeri non possono essere riutilizzati.

Lo scopo dell'attaccante sarà probabilmente quello di associare i propri prodotti con numeri così validati. L'utente malintenzionato potrebbe provare ad aggiungere i propri numeri ai prodotti contraffatti. Ma a causa dell'enorme quantità di numero possibile, la possibilità di ottenere un numero che è già associato a un prodotto è vicino allo zero. E il tentativo di forza bruta di un numero così grande contro un sito Web pubblico (che potrebbe implementare la limitazione dei tassi) non avrà altrettanto successo. È più probabile che l'attaccante causi un attacco denial of service quando tenta di invalidare i numeri su una scala enorme, ma non perché i numeri si esauriscano ma perché il carico è troppo alto per il sito web di validazione.

L'attaccante potrebbe anche provare a ottenere numeri usati per i prodotti originali e metterli sui prodotti contraffatti. Ma questo può essere sconfitto se ogni verifica viene registrata e la successiva verifica dello stesso numero mostra una cronologia delle convalide precedenti. Così si può vedere rapidamente se il numero è in realtà un numero originale o un numero copiato.

L'attaccante potrebbe anche provare ad acquistare numeri e associarli con l'originale anziché con il prodotto falso. Ma suppongo che gli account aziendali utilizzati per acquistare tali numeri siano associati al nome dell'azienda e dei suoi prodotti e che solo questa società sia in grado di associare qualsiasi numero acquistato con i prodotti delle società.

... Mass random numbers can be tested and could be expired very easily. Even original products or consumer items will be declared faked as a result of it to the people who will test it latter.

Se il sistema è implementato come ho descritto, non vedo nessuno di questi attacchi il più possibile.