Make the invitation code longer to prevent brute force attacks.

[MineCake147E]

Summary

misskey/packages/backend/src/server/api/endpoints/invite.ts

Lines 45 to 47 in d5c4e77

	const code = secureRndstr(8, {
	chars: '23456789ABCDEFGHJKLMNPQRSTUVWXYZ', // [0-9A-Z] w/o [01IO] (32 patterns)
	});

Currently, the invitation code space is only $32^8 = 2^{40} = 1,099,511,627,776$.
Let us consider generating random invitation codes by pseudo-random numbers that allow non-reciprocal extraction, such as LCG in 40-bit state, to obtain valid invitation codes.
The probability that there are exactly k valid invitation codes out of n generated invitation codes is by hypergeometric distribution,
$$\frac{\binom{K}{k}\binom{N-K}{n-k}}{\binom{N}{n}}$$
K is the number of valid invitation codes and N is the total number of possible invitation codes.
Also, the expected number of valid invitation codes if n invitation codes are generated,
$$n\times \frac{K}{N}$$
And the expected value of the number of generation times required to obtain one valid invitation code is,
$$\frac{N}{K}$$
As the number of valid invitation codes increases, the number of required generations decreases.
For example, Misskey.io has 240,000 users. If all of them created 16 invitation codes each without using it, there would be $240,000*16=3,840,000$ of valid invitation codes.
The expected number of invitation codes to generate before one valid invitation code is obtained is
$$\frac{1,099,511,627,776}{3,840,000}=286,331.1530666... $$
and that means that at most 290,000 attempts will yield one valid invitation code.
290,000 is a lot of attempts for a single person to get an invitation code. However, if more than one person performs a random attempt with a script or other means, and even one successful attempt is made, the successful experience will be spread. As a result, more people may try random invitation code generation, resulting in many people being able to create accounts through fraudulent means.

To avoid this situation, I think the invitation code needs to be longer, e.g., 16 characters.
With 102 characters, the invitation code space would be $32^{16}=1,208,925,819,614,629,174,706,176$, and the expected number of random attempts required to illegally obtain one valid invitation code out of $3,840,000$ valid invitation codes is $3.148244321913096809130666... × 10^{17}$.

[tamaina]

Bot認証で十分では？

[syuilo]

CAPTCHAを有効にしていればプログラムで自動で試行したりができないから問題ないと思われる

[syuilo]

ほむ

[ghost]

これ、新規登録試みるのレートリミットあるから別に長くしなくてもいいのではと思ったり思わなかったり。
あとそもそも招待コードって発行されないと使えないんじゃなかったっけ

[u1-liquid]

招待コードは事前に用意するものではなくユーザー（またはアドミン）が要請した時発行されるので、通常は総当たりされても問題ないです。
もし横取りされたとしても有効な資格がある人なら発行してくれた人にもう一度聞いて発行してもらえばいいので、そんなに問題にはならないはず
総当たりか偶然拾えた方はおめでとう！くらいでいいんじゃないでしょうか・・・
本当に会員管理をしてるサーバーならモデレーターが気付くはずですし

[u1-liquid]

過去に発行された未使用の招待コードをランダム試行により確率で引き当てることを想定しています。

こちらについてはもし対応が必要であればどっちかというと招待コードの使用期限を設定したほうがよさそうです

[ghost]

使用期限設定は賛成だわ🙂

[syobocat]

長くするのには賛成ですが、102文字はさすがに長すぎるかと
言われているような使用期限設定を設けた上で16文字程度にするのがよいのでは

[nenohi]

文字数を増やす、というよりはMisskeyのAdminやモデレーターが招待コードを管理できる画面を用意するだけで十分な気がします

[syobocat]

招待コードの管理画面があった方が良いのは確かだと思います

[CyberRex0]

もう少し現実を見て利便性を考えてほしい

[syuilo]

手打ちではなくコピペで使われる場合が多いとしてもまあ16文字程度が上限かな

[meronmks]

んーーこの提案で招待コードのセキュリティ高められるとして・・・
誰がどういう得を得れるんだろうか？

[syuilo]

今の8文字が短いのであれば10文字くらいで良いんじゃねと思った

[ghost]

招待コードの管理画面の実装だけで充分だと思う
そもそも招待制にしているサーバーなんて大体が小規模なんだから危惧するようなことではないと(そもそも招待コード売れてるところ見たことないし招待コードビジネスなんてすぐなくなると思う)

[u1-liquid]

なんとですね、クレカのCVCは3桁の数字なんですよ・・・

[ghost]

まぁioには招待コード総当たりページがあるからセキュリティー上げる必要なさそうなの

[yuriha-chan]

招待コードを長くした場合、招待コードを当てるより既存のユーザーのパスワード当てて乗っ取る方が簡単そう
（私は16文字程度のパスワードを使うことが多い）

[sorairolake]

有効期限を先に決めてから、その期間内には総当たり攻撃で破られないであろう文字数に変更するのが良いと思います。