Comments 11
random.org and no more problems
Тогда уж вот это: www.amazon.com/Million-Random-Digits-Normal-Deviates/dp/0833030477
Только каким боком здесь питон не понятно. Любой генератор псевдо-случайных чилсел выдает детерминированную последовательность чисел, зависящую только от зерна. Тот факт что, что большинство программеров не удосуживаются «перезасеивать» генератор во время работы программы — это исключительно их проблемы.
Ну и за использование ГПСЧ для генерации ключей сброса пароля нужно в любом случае бить по рукам. Лучше всего /dev/random ну dev/urandom, но только если критически важно отсутсвие блокировки в случае истощения пула энтропии
Ну и за использование ГПСЧ для генерации ключей сброса пароля нужно в любом случае бить по рукам. Лучше всего /dev/random ну dev/urandom, но только если критически важно отсутсвие блокировки в случае истощения пула энтропии
К слову, в официальной документации к питоньему модулю random (http://docs.python.org/library/random.html) явно написано «Mersenne Twister… is completely unsuitable for cryptographic purposes». В документации к php-шному rand ( php.net/manual/en/function.rand.php ) — нет.
может потому что есть mt_rand?
Т.е. в php есть Mersenne Twister? Ну здорово, но он для криптографии не подходит (о чем в доке к питону написано). В справке к mt_rand упоминания о том, что он не подходит для криптографии, опять нет. Или вы имеете в виду, что rand для криптографии подходит? Так тоже ведь не подходит.
Не, я к тому что для реализации Mersenne Twister в php другая функция, не rand.
Что rand, что mt_rand — обе функции небезопасны и дело даже не в них, а в том, что в PHP сид задается одинаково, причем одинаково плохо и предсказуемо. Общались по этому поводу с разработчиками PHP, однако ничего менять они не собираются, согласились лишь добавить плашку в документации, хотя и той не видно.
Sign up to leave a comment.
Безопасность случайных чисел в Python