- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
这是一个很长的问题,所以简而言之是,依赖 PHP 的 rand
函数来生成首次密码是否安全?
在我的空闲时间,我只是在想一个逻辑来制作非常困难的自定义密码生成器(只有数字),这是我下一个项目中可能需要的功能。
首先想到的是 PHP 的 rand()
方法。我围绕 rand
方法尝试了一些测试来测试它的随机行为。通常,首先想到的是生成多个随机数并对其进行一些操作会使随机数更难猜测。使用以下程序,我很惊讶地发现随机数的平均值非常接近其一半:
$minAvg=$maxAvg=50;
for($i=1;$i<=1000;$i++){
//Random average
$sum=0;
for($j=0;$j<1000;$j++){
$sum=$sum+rand(1,100);
}
$avg=$sum/1000;
///
if($avg<$minAvg){
$minAvg=$avg;
}
if($avg>$maxAvg){
$maxAvg=$avg;
}
if($i%100==0)
{
echo "at i=$i, Min Avg = $minAvg and Max Avg = $maxAvg <br/>";
}
}
上述代码的一个输出是:
at i=100, Min Avg = 47.174 and Max Avg = 53.003
at i=200, Min Avg = 47.174 and Max Avg = 53.003
at i=300, Min Avg = 47.174 and Max Avg = 53.003
at i=400, Min Avg = 47.174 and Max Avg = 53.003
at i=500, Min Avg = 47.174 and Max Avg = 53.192
at i=600, Min Avg = 47.174 and Max Avg = 53.192
at i=700, Min Avg = 47.174 and Max Avg = 53.192
at i=800, Min Avg = 47.174 and Max Avg = 53.192
at i=900, Min Avg = 47.174 and Max Avg = 53.204
at i=1000, Min Avg = 47.174 and Max Avg = 53.204
我在上面的代码上运行了至少 50 次,但即使在 1000 次迭代之后,平均值始终保持在 47.xx 到 53.xx 之间(对于 1 和 100 之间的随机数)
虽然这个结果并没有说明很多,因为一般来说少数数字的平均值必须接近中间,但我没想到随机数会有相同的行为。 我觉得它表明 PHP 的 rand() 使用了一些固定的算法,该算法以给定的模式生成数字。据我了解,这只是平均水平保持在中间水平附近的正当理由。
到目前为止,我经常使用随机数来生成首次密码(在首次登录时被强制更改)。但是,现在我有点担心使用随机数生成涉及金融交易和信用卡号等敏感信息(尽管已加密)的网站的首次密码是否安全。黑客(不是业余黑客而是专业黑客)是否有可能轻松破解此类密码?最重要的是,是否有任何算法可以检测(或至少估计)下一个随机数。
编辑好吧,为了让它更明智,用户将离线注册,例如开设银行账户,打印的第一次密码
将通过邮寄而不是电子邮件发送。因此密码必须保持在 10 个字符以下,这排除了任何加密。
最佳答案
rand()
不是加密强度的 RNG,但在这里无关紧要。
随 secret 码所需要的只是它应该足够不可预测,以至于随机猜测是不可行的。与 rand()
相比,此属性与密码的长度和允许的字符池有更多关系。
此外,防止暴力破解的最佳防线是在登录尝试之间引入故意延迟。如果您这样做并且拥有“相当随机”的密码,那么您绝对不会被暴力破解。
最后,rand()
是使用 linear congruential generator 实现的.除非服务器将花费大部分时间来生成密码(非常怀疑),否则您可以通过切换到 mt_rand()
来获得“更好”的随机性,这是 Mersenne Twister 的一个实现。 (它仍然不是加密强度)。
关于php - 使用 PHP rand() 预测随机数的可能性,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/13155281/
是否可以在表格 View 中提供单独的单元格样式? 最佳答案 是的,看看几乎所有的苹果应用程序。他们倾向于使用不同控件的表格进行设置。这就是表格单元格具有不同重用标识符的原因。这样您就可以将正确的类型
我想知道是否可以在 Javascript 中做这样的事情: one(plus(nine())); // returns 10 看起来是这样,但我不确定如何将 one() 的值传递给 plus() 函数
我正在编写一个算法,在给定模型的情况下,我计算数据集列表的可能性,然后需要对每个可能性进行归一化(概率)。所以像 [0.00043, 0.00004, 0.00321] 这样的东西可能会被转换成 [0
我想检测是否可以进行局域网唤醒。 在我的路由器(Tomato 固件)上有一个包含信息的表格 - 当显示设备“事件(在 ARP 中)”时 - 可以通过 WOL(离线 Linux 电脑)打开该设备。 我想
我正在寻找一种方法来解析具有几个可能使用的不同终止字符的子字符串。我应该使用不同的方法还是有办法使用正则表达式来整理字符? 我当前的代码使用: smallstring = bigstring.subs
目前我有可能使用 surefire 插件在 maven 上运行多个测试,如下所示: mvn clean test -Dsurefire.suiteXmlFiles=test1.xml,test2.xm
最近,我成功地为 HDFS 和 YARN 启用了 HA。现在我有一个事件的和备用的名称节点,自动故障转移工作正常。我正在使用 Cloudera Manager 和 CDH 5。 我有以下问题。 例如,
我想要最简单的动词,它给出给定长度的所有 bool 列表的列表。 例如 f=. NB. Insert magic here f 2 0 0 0 1 1 0 1 1 f 3 0 0 0
这将是一个井字游戏实现: data Row = A | B | C deriving (Show, Read, Eq, Ord, Enum, Bounded) data Column = X
这是一个假设性的问题: 我想构建一个 Chrome 扩展程序,它会跟踪用户在该扩展程序处于事件状态的网页子集上的点击情况,并通过 AJAX 将数据作为 POST 或 GET 请求发送到我在某处运行的外
我们想使用 Entity Framework (.NET 4.0) 构建可以处理 Sql Server、MySQL 和 Oracle 的应用程序。也许 Sqlite 也是。 通过配置文件中的一些设置应
是否可以在 iPhone 上通过指定网络的 SSID 来创建数据连接? 是否可以从应用程序检查具有指定 SSID 的网络的信号/可用性? 问候,斯腾 最佳答案 遗憾的是,如果不使用私有(private
我正在使用各种 lambda 表达式语法测试性能差异。如果我有一个简单的方法: public IEnumerable GetItems(int point) { return this.ite
Effective Java 第 2 版的第 16 条,支持组合优于继承 说如下 “如果父类(super class)在后续版本中获得了一个新方法并且你运气不好给子类一个具有相同签名的方法和不同的返回
已关闭。此问题需要 debugging details 。目前不接受答案。 编辑问题以包含 desired behavior, a specific problem or error, and the
我想知道 Tic Tac Toe 有多少种可能性,所以我在网上搜索并找到了一个数学定理,它表明 Tic Tac Toe 中有 255168 种可能的游戏。 网站:http://www.se16.inf
关闭。这个问题需要更多focused .它目前不接受答案。 想改进这个问题吗? 更新问题,使其只关注一个问题 editing this post . 关闭 8 年前。 Improve this qu
我想在单个值中存储 4 个 boolean 可能性。例如,我想要一个单一的值来判断一个人是否: IsSingle IsGraduate IsMale IsLookingForPartner 那么将它们
我的 Wicket 口应用程序遇到了一些问题。 问题出在一个名为 OverviewPage 的页面上,这里有一些面板,例如 ListPanel,其中有我的 RepeatingView。 这个Repea
关闭。这个问题需要更多 focused .它目前不接受答案。 想改进这个问题?更新问题,使其仅关注一个问题 editing this post . 7年前关闭。 Improve this questi
我是一名优秀的程序员,十分优秀!