Názory k článku
Jak generovat náhodná hesla v příkazové řádce
-
Ondra Satai NekolaZlatý podporovatelDelam to podobne: head -c 1024 /dev/urandom | md5sum | pbcopy
(na konci je taky malicky bordel, ale to je vlastne jedno, stejne se to jednou pastuje do formulare a tim interaktivni pouziti konci. Naopak to nekdy pomuze kdyz system chce nonalphanumeric znak.)
-
Ondra Satai NekolaZlatý podporovatel
Nestaci si nejak (trebas jak je ukazane tady) vygenerovat neco s dostatecnou entropii a pak si za to nalepit velke pismeno a symbol a ulozit?
-
Ondra Satai NekolaZlatý podporovatel
Pro heslo délky n, k povinných (disjunktních) skupin znaků:
n-k krát vyber náhodný znak ze sjednocení skupin, lep je za sebe do stringu
Pro každou skupinu vyber náhodného zástupce a dej ho na náhodné místo v řetězci. (Případně dávej na konec a na konci proveď shuffle.)Není to dokonalé, ale je to na pár řádků (v rozumném programovacím jazyce, v shellu by to byl opruz) a není problém to udělat pro daný seed a offset deterministické.
-
mtmr (neregistrovaný)
Jak velice špatný nápad je:
echo $RANDOM$RANDOM$RANDOM$RANDOM$RANDOM
ano, systematicky takto generovat hesla je zlé. Ale pro ručně generované heslo je to ihmo dostatečné, nebo ne? Jak zde zneužít špatný zdroj náhody? Je $RANDOM inicializován nějakým časovým údajem (k prolomení by stačilo projít všechny nedávné sekundy, které to kohly inicializovat)? -
Ondra Satai NekolaZlatý podporovatel
Sama cisla? Musel bys jich dat hodne, abys ziskal bezpecnost a hodne webu te s takovym heslem posle k sipku.
-
To záleží. Co když bude útočník znát čas nastavení hesla (což někdy může, aspoň přibližně), pak by to nemuselo být až tak těžké. Záleží taky na kontrétním RNG apod.
Ale: má smysl to řešit, když použít CSRNG (např. head -c16 /dev/random | base64) není až tak těžké.
(Ano, dá se diskutovat o random vs. urandom. Ale ve chvíli, kdy mám haveged, je obojí dostatečně rychlé.)
