Bunu ben de fark ettim ve bunun insan beyninin rastgele gürültüye kalıp uygulama eğiliminin bir sonucu olduğunu düşünüyorum. Bu, özellikle bir dizi sayıyı hatırlamaya çalışırken daha yaygın görünüyor.

Altı basamaklı rastgele sayıların yaklaşık% 85'inde en az bir yinelenen basamak bulunur ve% 40'ında yan yana yinelenen bir ardışık basamak bulunur. (Yaptığım matematiği düzeltmekten mutluyum.)

Bu anahtarlar standart TOTP algoritması kullanılarak oluşturulur. Makale bu uygulamayı özetliyor ve akılda kalıcı bir sayı oluşturmak için herhangi bir çaba olmadığını gösteriyor:

RFC 6238'e göre referans uygulaması şu şekildedir:

• Keyfi bir bayt dizesi olan K anahtarını oluşturun ve istemciyle güvenli bir şekilde paylaşın.
• Bir T0, zaman adımlarını saymaya başlamak için Unix zamanı ve bir aralık, TI, C sayacının değerini hesaplamak için kullanılacak olan (varsayılanlar T0 olarak Unix dönemi ve TI olarak 30 saniyedir)
• Kriptografik bir karma yöntemi üzerinde anlaşın (varsayılan SHA-1'dir)
• Belirteç uzunluğu konusunda anlaşın, N (varsayılan 6'dır)

RFC 6238 farklı parametrelerin kullanılmasına izin verse de, kimlik doğrulayıcı uygulamasının Google uygulaması T0, TI değerlerini desteklemez , hash yöntemleri ve belirteç uzunlukları varsayılandan farklıdır. Ayrıca, K gizli anahtarının RFC 3548'e göre 32 tabanlı kodlamada girilmesini (veya bir QR kodunda sağlanmasını) bekler.

Parametreler üzerinde anlaşmaya varıldığında, belirteç oluşturma aşağıdaki gibidir:

1. C'yi T0'dan sonra TI'nın kaç kez geçtiğini hesaplayın.
2. HMAC hash H'yi mesaj olarak C ve anahtar olarak K ile hesaplayın (HMAC algoritması önceki bölüm, ancak çoğu kriptografik kitaplık da desteklemektedir). K olduğu gibi geçirilmeli, C 64 bitlik işaretsiz tamsayı olarak aktarılmalıdır.
3. H'nin en az 4 anlamlı bitini alın ve ofset olarak kullanın, O.
4. O bayt MSB'den başlayarak H'den 4 bayt alın, en önemli biti atın ve geri kalanını (işaretsiz) 32 bitlik bir tamsayı olarak saklayın, I.
5. Belirteç, 10 tabanındaki I'in en düşük N basamağıdır. Sonuçta N'den daha az basamak varsa, onu soldan sıfırlarla doldurun.

Hem sunucu hem de istemci belirteci hesaplayın, ardından sunucu, istemci tarafından sağlanan belirtecin yerel olarak üretilen belirteçle eşleşip eşleşmediğini kontrol eder. Bazı sunucular, hafif saat sapmalarını, ağ gecikmelerini ve kullanıcı gecikmelerini hesaba katmak için geçerli saatten önce veya sonra oluşturulması gereken kodlara izin verir.

Telefonumda çeşitli şirketlerden yaklaşık 90 doğrulama kodu vardı. Bunların 62'si 6 basamak uzunluğundaydı. İşte her basamağın sayısı:

Muhtemelen 1,8'e doğru hafif bir eğim ve 9? Verilerdeki neredeyse kesinlikle parazit var (62, küçük bir örnektir).

Peki ya çift haneler?

İlk grafik yalnızca 2 basamaklı sınırlarda çift basamaklı sayılar (yani AABBCC) - bu nedenle her bir çiftin 186 olası basamak yerleşimi boyunca yaklaşık 1.86 kez görünmesini bekleriz. İkincisi, herhangi bir yerleşimdir (yani XXX99X, çift basamaklı olarak sayılır). 310 yerleşimde her bir çiftin yaklaşık 3,1 katı olmasını bekleriz.

Çift basamaklı olmayanların turuncu ile gösterildiğinden çok daha fazla çift basamaklı belirgin bir çarpıklık görünmüyor. İkinci verilerde, yaklaşık 31 çift hane olmasını beklerdik ve 27 elde ederiz. Bu makul görünüyor.

Elbette bu, diğer "rastgele olmayan" kalıpları dışarıda bırakmaz - dürüst olmak gerekirse büyük olasılıkla kalıp arıyor - hepsi 2FA uygulamamdan alınan şu sayılara bakın: 365 595, 111116, 566 272, 468 694, 191574, 833 043.

Umarım bu, sizin durumunuzda rastgele bir şanstır. Bir örüntü varsa, ikinci bir koda sahip olmanın tüm anlamını zayıflatır.

Hayır, kasıtlı olarak hatırlanmaları kolay değildir ve kullanıcılarının 6 sayı yazarken sorun yaşadıklarına dair geri bildirim almadıkları sürece genelleştirilmiş bir iş vakası yoktur. O zaman birisi aptalca bir şey yapmış olabilir ama umarım değildir.

Aynı zamanda insanların rastgeleliği düşünme eğilimiyle de ilgilidir. Gerçek rastgelelikte, tekrarlanan rakamlar ve tekrarlanan modeller, beklediğimizden çok daha sık meydana gelir. İnsanlardan rastgele "görünen" rakam dizileri oluşturmaları istendiğinde, tekrar eden kalıplardan veya rakamlardan kaçınma eğilimindedirler ("7" yi aşırı kullanmak ve "0" ile "2" yi yetersiz kullanmak gibi diğer tuhaflıklar da, vb). Birinden 1 ile 100 arasında "rastgele" bir sayı seçmesini isterseniz, genellikle 7 içerir ve çoğu zaman 37 (veya 17) olur. İnsanların (genellikle) rastgele görünen bir şeyi seçmeye çalıştığı için (rastgele görünen sayıların rastgele bir çekilişte kazanma olasılığının daha yüksek olduğuna dair yanlış inanç nedeniyle) manuel olarak seçtiği piyango sayılarını inceleyebilirsiniz.

If bir insan rastgele bir yazı tura atışı taklit etmeye çalışıyorsa, son sonucu tekrarlayacaklarından çok daha fazla yazı ve yazı arasında gidip gelirler ve bir sonraki değerini oldukça iyi bir kesinlikle tahmin etmeyi mümkün kılar (>% 50 olasılıkla bir sonraki değeri .

Tekrarlanan bir basamak veya iki basamaklı bir dizi, gerçek bir rastgele 6 basamaklı sayı için oldukça yaygındır (örneğin, ardışık yinelenen bir basamağın ~% 41'i, herhangi bir yerde tekrarlanan bir rakam) ve bir insandan bulmasını istediğiniz "rastgele" 6 basamaklı bir sayı için çok nadirdir.