0
使用以下算法生成密码的安全性如何?ruby Array.sample是否可以安全地生成密码?
a_z = ('a'..'z').to_a
Array.new(10).map{|_| a_z.sample}.join
A
回答
1
这样的密码是不是技术上的加密安全,因为在Array#sample作为随机数发生器Mersenne Twister算法在理论上被黑客攻击。每个被抽样的字母都会给出号码生成器的内部状态的线索,并且知道足够多的信息(可能在您的方案中按顺序生成大约80个密码)足以开始预测未来密码的内容。
实际上,这对于黑客来说很难利用,因为他们需要访问在同一进程中生成的相当多的密码,并知道序列,然后才能开始可靠地预测密码。
但是,您可以通过使用加密随机数生成器来避免此潜在问题。 Ruby有一个标准的SecureRandom。 SecureRandom的不能连接到Array#sample,等效代码到你的可能是:
Array.new(10) { (97 + SecureRandom.random_number(26)).chr }.join
它看起来并不优雅,但它更难以破解。
增加密码的长度和可用字符的选择也会使得密码更难以蛮力猜测(通过尝试所有可能的组合),但这不是使用Array#sample的方法固有的问题 - 你只能增加字符的数量。
1
您的代码只能生成26^8不同的密码。我会认为这不是非常安全。
如果您必须生成随机密码(btw Devise::friendly_token使用该库),我会建议使用Ruby的SecureRandom.urlsafe_base64。我会建议使用更长的密码。
require 'securerandom'
SecureRandom.urlsafe_base64
#=> "GL3tna7eQFpu1JaPnxIoyA"
该示例可以生成64^22不同的字符串。
相关问题
- 1. 密码生成无安全编码的URL安全密文
- 2. 安全的密码生成和存储
- 3. 安全地处理密码
- 4. 从用户密码安全生成加密密钥?
- 5. random.randint生成加密安全密钥
- 6. 混淆安全模型是否在密码安全中占有一席之地?
- 7. 可以安全地存储其他网站的密码吗?
- 8. 我可以安全地分发哈希密码吗?
- 9. 如何安全地加密密码
- 10. TheadFactoryBuilder线程安全生成的ThreadFactory是否安全?
- 11. 是否可以使用Firebase安全规则验证密钥?
- 12. 由Visual Studio自动生成的代码是否线程安全?
- 13. 密码安全
- 14. 在Windows 2003上生成的GUID是否可安全地用作会话ID?
- 15. 以下代码是否线程安全
- 16. 如果crypto.randomBytes密码性强,是否可以安全地用作RNG(以及如何操作?)
- 17. Openssl加密库中是否有函数来安全地输入密码?
- 18. 是否可以安全使用java.io.BufferedOutputStream?
- 19. 是否可以安全使用socket.io?
- 20. GAE命名空间是否可以安全地用于线程安全?
- 21. 是否可以安全/安全地将API密钥等检入到存储库中?
- 22. 安全地存储密码以供PHP使用 - 本地
- 23. bcrypt-ruby的密码生成和校验
- 24. 为用户安全生成RSA密钥
- 25. 生成加密的安全令牌
- 26. 加密安全随机数生成器
- 27. PHP:这个密码加密是否安全?
- 28. 这个密码加密是否足够安全?
- 29. 如何检索密码以便以后可以安全地从内存中删除密码?
- 30. 是否可以取得密码?
安全抵御哪些攻击? –
为什么你需要一个虚拟密码? – rtcherry
如果您有充分的理由来生成这些密码,我会使用'SecureRandom'。 – Blender