我们有一个客户主持一个活动，预算紧张，使用带有条形码的挂绳照片身份证。条形码用于进入活动的各个区域。

我们正在考虑提出一个散列代码（目前 ID 是连续的），但后来发现用高分辨率照片“刷”一张卡片非常容易，然后用刷卡的打印输出覆盖现有的条形码。

请记住，我们使用的是 ean13 扫描仪，而且预算确实很紧张（因此 NFC 暂时不可用）——诸如红色玻璃纸之类的覆盖物是否有助于减轻这种特定类型的攻击？

实际发生了什么

这是我在 SE 上写过的最受欢迎的帖子，我想我可以为您提供一些跟进。

首先，非常感谢大家的想法。它为我们提供了一份不该做的事情和 该做什么事情的清单，这非常有价值。

我们做了什么

通过使用 USB 端口的 EAN 13 扫描仪，安全人员可以访问廉价笔记本电脑。笔记本电脑已登录（使用唯一 ID）到我们的安全应用程序。

使用的 ID 是使用精心设计的 RNG 生成的（不是我，所以这里缺少细节 - 但它通过了一堆测试）与身份无关。几天内有超过 2,500 名与会者。

我们没有使用任何东西来掩盖 EAN 13：复制它们很容易。然而，这还不足以进入。

在展示和扫描时，软件（链接到我们自己的监控服务）检查 ID 的存在（失败#1），关于 ID 是否已被使用（失败#2），然后返回身份详细信息附加该身份的个人的（照片、姓名等）。这最后取决于人工检查（失败＃3）。

我们也有参加的人没有挂绳（“我丢了”/“我不需要”/等等……），他们被推迟到一个单独的安全大楼，在那里他们得到了他们丢失的挂绳，之后已提供身份证件（护照/执照等）。因为每个人都需要身份证——即使是 VVIP，也不例外。

进行了社交黑客尝试 - 但他们失败了。

一些 VVIP 想要他们的合作伙伴（未注册）参加，这已升级到做出决定的高级管理层）——其中大约 50% 获得了新的注册和相应的印刷挂绳/身份证。大约 50% 被拒绝。

确实发生了重复 - 这让我们感到惊讶。在确实发生的情况下，很容易确定他们是否是该卡的发给人。

我们也有以前活动的卡片。他们看起来不一样，他们的ID也不一样。一些与会者实际上只是带错了挂绳——他们在安检处得到了替换。其他人被拒之门外。

我不得不说安保人员非常专业 - 活动主持人对他们的待遇非常好，提供餐点，并在活动结束时提供免费饮料吧以确保安全。

对活动的访问受到高度控制。所有入口和出口，即使被锁定，也受到监控。

我们没有做的事

安全人员是 100% 受信任的。他们当中可能有一个“内部人员/团队”，但协调起来非常困难，我们怀疑是否有足够的动机。安全公司已经进行了审查——并且真的很想在接下来的几年里再次赢得这项工作（就像前几年一样），所以那里的风险可能比我想象的要小得多。

我学到的是

纵深防御和现实生活中的 MFA 是我学到的两件事。期望安全系统的一个部分就足以满足整个安全系统的需求是一个不必要的错误。

低技术是好的，只要使用得当，并且没有任何荒谬的过高期望。

OMG 照顾好保安人员。由于他们是我们的眼睛和耳朵，我们有充分的理由让他们保持快乐和忠诚。

TL;博士

只要您不期望它们做太多事情，不受保护的条形码就没有任何问题。它们用于安全和通信，并且（如果我们回到非锁定事件）我们可能还会引入限制区域（显然，使用替代系统做得不好 - 不是我们团队设计的）。

每个人都很安全，没有人受到打扰，这是一个非常成功的活动。