5.2. Device Code Brute Forcing (设备代码暴力破解)
🇬🇧 English
An attacker who guesses the device code would be able to potentially obtain the authorization code once the user completes the flow. As the device code is not displayed to the user and thus there are no usability considerations on the length, a very high entropy code SHOULD be used.
🇨🇳 中文
猜中设备代码的攻击者将有可能在用户完成流程后获得授权代码。由于设备代码不向用户显示,因此长度上没有可用性考虑,应该 (SHOULD) 使用非常高熵的代码。
🇯🇵 日本語
デバイスコードを推測した攻撃者は、ユーザーがフローを完了すると、認可コードを取得できる可能性があります。デバイスコードはユーザーに表示されないため、長さに関するユーザビリティの考慮事項はなく、非常に高いエントロピーのコードを使用すべきです (SHOULD)。
🇫🇷 Français
Un attaquant qui devine le code d'appareil pourrait potentiellement obtenir le code d'autorisation une fois que l'utilisateur a terminé le flux. Comme le code d'appareil n'est pas affiché à l'utilisateur et qu'il n'y a donc aucune considération d'utilisabilité sur la longueur, un code à très haute entropie DEVRAIT être utilisé.
🇩🇪 Deutsch
Ein Angreifer, der den Gerätecode errät, könnte möglicherweise den Autorisierungscode erhalten, sobald der Benutzer den Ablauf abgeschlossen hat. Da der Gerätecode dem Benutzer nicht angezeigt wird und es daher keine Überlegungen zur Benutzerfreundlichkeit bezüglich der Länge gibt, SOLLTE ein Code mit sehr hoher Entropie verwendet werden.
🇮🇹 Italiano
Un aggressore che indovina il codice dispositivo potrebbe potenzialmente ottenere il codice di autorizzazione una volta che l'utente completa il flusso. Poiché il codice dispositivo non viene visualizzato all'utente e quindi non ci sono considerazioni di usabilità sulla lunghezza, DOVREBBE essere utilizzato un codice ad entropia molto elevata.