security - 是否使用 GUID 安全性虽然默默无闻？

Question

如果您使用 GUID 作为面向公众的应用程序的密码作为访问服务的一种方式，这种安全性是通过隐蔽性实现的吗？

我认为显而易见的答案是肯定的，但是对我来说安全级别似乎非常高，因为猜测 GUID 的机会非常低，正确吗？

更新

GUID 将存储在设备中，插入后，将通过 SSL 连接通过 GUID 发送。

也许我可以生成一个 GUID，然后在 GUID 上执行 AES 128 位加密并将该值存储在设备上？

Answer 1

在我看来，答案是否定的。

如果您将密码设置为新创建的 GUID，那么它是一个相当安全的密码:超过 8 个字符，包含数字、字母和特殊字符等。

当然，在 GUID 中 '{' 的位置, '}'和 '-'众所周知，以及所有字母都是大写的事实。因此，只要没有人知道您使用 GUID，密码就更难破解。一旦攻击者知道他正在寻找一个 GUID，暴力攻击所需的努力就会减少。从这个角度来看，它是默默无闻的安全。

不过，请考虑以下 GUID:{91626979-FB5C-439A-BBA3-7715ED647504}如果假设攻击者知道特殊字符的位置，那么他的问题就简化为查找字符串 91626979FB5C439ABBA37715ED647504。 .暴力破解 32 个字符的密码？如果有人发明了一台工作的量子计算机，它只会在你的一生中发生。

这是通过使用非常非常长的密码而不是晦涩难懂的安全性。

编辑:
阅读丹尼斯轩尼诗的答案后，我必须修改答案。如果 GUID 确实以可解密的形式包含此信息(特别是 mac 地址)，则攻击者可以大大减少 key 空间。在那种情况下，它肯定是默默无闻的安全，阅读:相当不安全。

当然，MusiGenesis 是对的:有很多工具可以生成(伪)随 secret 码。我的建议是坚持其中之一。