我是否应该将许可证密钥输出从纯 md5 输出更改为常见的“XXXX-YYYY-ZZZZ”？输入代码？

Question

我正在创建一个简单的许可证密钥系统，以“让诚实的人保持诚实”。我不关心特别严格的密码学。

如果他们对演示限制感到恼火，他们会访问我的注册网站，付款并给我他们的电子邮件。我给他们一个许可证密钥。

我让事情变得非常简单，因此：

license_key = md5(email + "Salt_String");

我让 PHP 和 C# 函数运行相同的算法并获得相同的密钥。

问题是这些函数的输出是一个 32 个字符的字符串，例如：

A69761CF99316358D04771C5ECFCCDC5

Which 可能很难记住/键入。是的，我了解复制/粘贴，但我想让所有付费客户真正轻松地解锁软件。

我应该以某种方式将这个长字符串转换为更短的字符串吗？

假设我只使用前 6 位数字，因此： A69761

其中显然存在更多的加密冲突，但在实际使用中这有什么关系吗？

还有其他想法可以使该内容更易于阅读/可输入吗？

Answer 1

剩下 6-10 个符号就足够了 - 用户无论如何都无法猜出代码，并且很容易输入。
另外一个好主意是在您的服务器上注册每个许可证，以便您能够检查该用户是否真的诚实，并且没有将许可证密钥提供给其他人。

Answer 2

根据我的经验，要求用户输入或复制/粘贴 30 个字符的代码确实会让客户感到沮丧。并不是说有那么困难。这只是人们不关心的一个障碍。

我用于我的业务的解决方案是单独试用和购买下载。要获取许可副本，客户需要在下载表单中输入电子邮件地址和简短的用户 ID。仅输入电子邮件会自动重新发送用户 ID。您没有询问这一点，但是自动查找客户需要的任何代码的系统比拥有一个简单的系统更重要。下载系统在数据库中查找用户的详细信息，并提供嵌入了用户许可证的SetupSomeProductCustomerName.exe。此设置将安装客户的许可副本，无需任何进一步的身份验证或服务器连接。

这个系统对我们来说非常有效。客户只需备份一个文件，并且不会丢失序列号，以确保他们将来可以重新安装该软件。

也就是说，如果您更喜欢使用使用单向哈希的系统，只需使用生成较小哈希的算法即可。例如，CRC-32 结果为 8 个十六进制数字。

哈希值的加密安全是没有意义的。破解者只需遍历您的代码，复制将电子邮件地址突变为许可证密钥的整个代码块，然后将其粘贴到他们的注册机中。然后他们可以为任何电子邮件地址生成许可证密钥。无论您的哈希算法有多复杂，他们都可以做到这一点。

如果你想防止这种情况发生，你需要使用公钥加密，这会导致密钥太长而无法输入。如果你走这条路，你要么需要用长密钥粘贴来惹恼你的客户，要么单独的密钥文件，或使用我上面描述的个性化下载系统。