0
使用以下算法生成密碼的安全性如何?ruby Array.sample是否可以安全地生成密碼?
a_z = ('a'..'z').to_a
Array.new(10).map{|_| a_z.sample}.join
A
回答
1
這樣的密碼是不是技術上的加密安全,因爲在Array#sample作爲隨機數發生器Mersenne Twister算法在理論上被黑客攻擊。每個被抽樣的字母都會給出號碼生成器的內部狀態的線索,並且知道足夠多的信息(可能在您的方案中按順序生成大約80個密碼)足以開始預測未來密碼的內容。
實際上,這對於黑客來說很難利用,因爲他們需要訪問在同一進程中生成的相當多的密碼,並知道序列,然後才能開始可靠地預測密碼。
但是,您可以通過使用加密隨機數生成器來避免此潛在問題。 Ruby有一個標準的SecureRandom。 SecureRandom的不能連接到Array#sample,等效代碼到你的可能是:
Array.new(10) { (97 + SecureRandom.random_number(26)).chr }.join
它看起來並不優雅,但它更難以破解。
增加密碼的長度和可用字符的選擇也會使得密碼更難以蠻力猜測(通過嘗試所有可能的組合),但這不是使用Array#sample的方法固有的問題 - 你只能增加字符的數量。
1
您的代碼只能生成26^8不同的密碼。我會認爲這不是非常安全。
如果您必須生成隨機密碼(btw Devise::friendly_token使用該庫),我會建議使用Ruby的SecureRandom.urlsafe_base64。我會建議使用更長的密碼。
require 'securerandom'
SecureRandom.urlsafe_base64
#=> "GL3tna7eQFpu1JaPnxIoyA"
該示例可以生成64^22不同的字符串。
相關問題
- 1. 密碼生成無安全編碼的URL安全密文
- 2. 安全的密碼生成和存儲
- 3. 安全地處理密碼
- 4. 從用戶密碼安全生成加密密鑰?
- 5. random.randint生成加密安全密鑰
- 6. 混淆安全模型是否在密碼安全中佔有一席之地?
- 7. 可以安全地存儲其他網站的密碼嗎?
- 8. 我可以安全地分發哈希密碼嗎?
- 9. 如何安全地加密密碼
- 10. TheadFactoryBuilder線程安全生成的ThreadFactory是否安全?
- 11. 是否可以使用Firebase安全規則驗證密鑰?
- 12. 由Visual Studio自動生成的代碼是否線程安全?
- 13. 密碼安全
- 14. 在Windows 2003上生成的GUID是否可安全地用作會話ID?
- 15. 以下代碼是否線程安全
- 16. 如果crypto.randomBytes密碼性強,是否可以安全地用作RNG(以及如何操作?)
- 17. Openssl加密庫中是否有函數來安全地輸入密碼?
- 18. 是否可以安全使用java.io.BufferedOutputStream?
- 19. 是否可以安全使用socket.io?
- 20. GAE命名空間是否可以安全地用於線程安全?
- 21. 是否可以安全/安全地將API密鑰等檢入到存儲庫中?
- 22. 安全地存儲密碼以供PHP使用 - 本地
- 23. bcrypt-ruby的密碼生成和校驗
- 24. 爲用戶安全生成RSA密鑰
- 25. 生成加密的安全令牌
- 26. 加密安全隨機數生成器
- 27. PHP:這個密碼加密是否安全?
- 28. 這個密碼加密是否足夠安全?
- 29. 如何檢索密碼以便以後可以安全地從內存中刪除密碼?
- 30. 是否可以取得密碼?
安全抵禦哪些攻擊? –
爲什麼你需要一個虛擬密碼? – rtcherry
如果您有充分的理由來生成這些密碼,我會使用'SecureRandom'。 – Blender