- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
这是一个很长的问题,所以简而言之是,依赖 PHP 的 rand
函数来生成首次密码是否安全?
在我的空闲时间,我只是在想一个逻辑来制作非常困难的自定义密码生成器(只有数字),这是我下一个项目中可能需要的功能。
首先想到的是 PHP 的 rand()
方法。我围绕 rand
方法尝试了一些测试来测试它的随机行为。通常,首先想到的是生成多个随机数并对其进行一些操作会使随机数更难猜测。使用以下程序,我很惊讶地发现随机数的平均值非常接近其一半:
$minAvg=$maxAvg=50;
for($i=1;$i<=1000;$i++){
//Random average
$sum=0;
for($j=0;$j<1000;$j++){
$sum=$sum+rand(1,100);
}
$avg=$sum/1000;
///
if($avg<$minAvg){
$minAvg=$avg;
}
if($avg>$maxAvg){
$maxAvg=$avg;
}
if($i%100==0)
{
echo "at i=$i, Min Avg = $minAvg and Max Avg = $maxAvg <br/>";
}
}
上述代码的一个输出是:
at i=100, Min Avg = 47.174 and Max Avg = 53.003
at i=200, Min Avg = 47.174 and Max Avg = 53.003
at i=300, Min Avg = 47.174 and Max Avg = 53.003
at i=400, Min Avg = 47.174 and Max Avg = 53.003
at i=500, Min Avg = 47.174 and Max Avg = 53.192
at i=600, Min Avg = 47.174 and Max Avg = 53.192
at i=700, Min Avg = 47.174 and Max Avg = 53.192
at i=800, Min Avg = 47.174 and Max Avg = 53.192
at i=900, Min Avg = 47.174 and Max Avg = 53.204
at i=1000, Min Avg = 47.174 and Max Avg = 53.204
我在上面的代码上运行了至少 50 次,但即使在 1000 次迭代之后,平均值始终保持在 47.xx 到 53.xx 之间(对于 1 和 100 之间的随机数)
虽然这个结果并没有说明很多,因为一般来说少数数字的平均值必须接近中间,但我没想到随机数会有相同的行为。 我觉得它表明 PHP 的 rand() 使用了一些固定的算法,该算法以给定的模式生成数字。据我了解,这只是平均水平保持在中间水平附近的正当理由。
到目前为止,我经常使用随机数来生成首次密码(在首次登录时被强制更改)。但是,现在我有点担心使用随机数生成涉及金融交易和信用卡号等敏感信息(尽管已加密)的网站的首次密码是否安全。黑客(不是业余黑客而是专业黑客)是否有可能轻松破解此类密码?最重要的是,是否有任何算法可以检测(或至少估计)下一个随机数。
编辑好吧,为了让它更明智,用户将离线注册,例如开设银行账户,打印的第一次密码
将通过邮寄而不是电子邮件发送。因此密码必须保持在 10 个字符以下,这排除了任何加密。
最佳答案
rand()
不是加密强度的 RNG,但在这里无关紧要。
随 secret 码所需要的只是它应该足够不可预测,以至于随机猜测是不可行的。与 rand()
相比,此属性与密码的长度和允许的字符池有更多关系。
此外,防止暴力破解的最佳防线是在登录尝试之间引入故意延迟。如果您这样做并且拥有“相当随机”的密码,那么您绝对不会被暴力破解。
最后,rand()
是使用 linear congruential generator 实现的.除非服务器将花费大部分时间来生成密码(非常怀疑),否则您可以通过切换到 mt_rand()
来获得“更好”的随机性,这是 Mersenne Twister 的一个实现。 (它仍然不是加密强度)。
关于php - 使用 PHP rand() 预测随机数的可能性,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/13155281/
我编写了一个函数来随机从 [-10,10] 中获取一对。 import System.Random main = do { s State g a randomSt = S
好的,我了解如何在 Scala 中实现随机数生成器以及如何设置生成的随机数的上限,但我对如何更改下限感到困惑。例如: var computerGuess= scala.util.Random
我写了一个函数来从 [-10,10] 中随机得到一对。 import System.Random main = do { s State g a randomSt = St
很难说出这里要问什么。这个问题模棱两可、含糊不清、不完整、过于宽泛或夸夸其谈,无法以目前的形式得到合理的回答。如需帮助澄清此问题以便重新打开,visit the help center . 关闭 1
我正在做一个项目,我需要在其中生成 8 个随机数。由于某种原因,我遇到随机数部分非常耗时的问题。 8 个随机数的意思是我需要一个由数字 0-9 组成的 8 个字符长的字符串。例如 01234567 或
这个问题已经有答案了: Why do I always get the same sequence of random numbers with rand()? (12 个回答) 已关闭 9 年前。
我看到这个问题可能已经在这里得到回答:Random using WELL512 但是,它对用户不太友好,也没有提供如何在“真实世界”的代码片段中使用它的示例。 这是我目前拥有的: #define m
我想知道是否有人可以为我澄清这一行。 Create a function die(x) which rolls a die x times keeping track of how many time
我正在制作一款有 6 名防守球员的足球比赛。我将这段代码设置为随机让他们都向四分卫移动。 我想知道是否有更好的方法来做到这一点。我知道必须有一种方法可以在没有这么多 if 语句的情况下循环它,但我对
在以下位置:http://www.fredosaurus.com/notes-cpp/misc/random.html 它提到如果我们想生成一个1-10范围内的随机数,我们可以这样做: r = (ra
如何在 Linux 和 C++ 中使用随机数? 我找到了一些我想使用的代码,它有一行 srand((unsigned)time(0));//seed 但是 gcc 说 board.cpp:94:24:
这个问题在这里已经有了答案: Generating random whole numbers in JavaScript in a specific range (40 个答案) 关闭 9 年前。
我有以下脚本: Timer=0; function countdown(auctionid){ var auctions; var divs; Timer=Timer+1;
利用oracle的dbms_random包结合rownum来实现,示例如下,随机取499户: select * from ( select * from busi.t_ar_
我需要获取随机数,但它不应该等于之前的数字。这是我的一段代码。但这不起作用。 function getNumber(){ var min = 0; var max = 4; var i;
我对 Haskell 还很陌生。我有一个数据类型: data Sentence= Prop Int | No Sentence | And [Sentence]
已关闭。这个问题是 not reproducible or was caused by typos 。目前不接受答案。 这个问题是由拼写错误或无法再重现的问题引起的。虽然类似的问题可能是 on-top
这个问题已经有答案了: How do I generate random integers within a specific range in Java? (73 个回答) 已关闭 7 年前。
function getRandomArbitrary(min, max) { var r = Math.floor(Math.random() * (max - min + 1) + m
这个问题在这里已经有了答案: 关闭 10 年前。 Possible Duplicate: Generate random number with non-uniform density 我尝试识别/
我是一名优秀的程序员,十分优秀!