你还在使用 Python random 模块生成随机密码
Python Random 模块提供了一种生成伪随机数的便捷方法,可以用于实现计算机游戏、幸运抽奖系统等。由于它提供了各种随机功能生成结果,因此开发人员试图使用此功能来生成出于安全目的的随机密码或身份验证令牌。但是,这些随机生成的结果真是随机的吗?
random 模块的基本用法
random 模块的基本用法是使用它生成随机整数、浮点数或字符串。
>>> import random
>>> random.randint(1,10) # 1 到 10 之间的随机整数
5
>>> random.random() # 0 到 1 之间的随机浮点数
0.2753060596769743
>>> random.uniform(1,2) 1 到 2 之间的随机浮点数
1.4615940609712572
>>> random.randrange(1,100,2) 1 到 100之间的随机数,步长 2
21
>>> random.randbytes(8) # 生成 8 个随机字节
b'Q%\xed\xa5\xf2\x1ea\xb1'
>>> random.getrandbits(8) # 返回具有8个随机比特位的非负整数
234
>>> s = ["A", "B", "C", "D", "E", "F"]
>>> random.shuffle(s) # 随机打乱元素
>>> s
['A', 'C', 'F', 'D', 'E', 'B']
>>> random.sample(s,k=5) # 随机选择k个不重复的元素。
['E', 'F', 'D', 'B', 'C']
>>> random.choice(s) # 随机选取一个元素
'B'
random 使用 Mersenne Twister 算法作为核心生成器,该算法旨在用于建模和仿真目的,而不是安全或密码学。继续使用随机模块中的函数来生成密码或安全令牌,将会存在很多安全漏洞。
secrets 模块
为了解决这些问题,提出了一项增强提案,为一些常见的安全相关功能添加一个新的 secrets 模块。secrets 中的函数与 random 中看到的非常相似,但是内部生成方式不同,对于加密应用程序来说是不可预测的。
>>> import secrets
>>> secrets.randbelow(50) # 0 到 50 之间的随机整数
37
>>> secrets.randbits(8) # 生成 8 位的随机整数
35
>>> secrets.token_bytes(20) # 生成随机字节
b'\x15\xc5\xa1\xd3LEp\x9f\x9d|b8[g(\xce\xca\xd1\x03|'
>>> secrets.token_hex() # 生成十六进制随机字符串
'2c61d6811d2798c1e1cfe5a7caed2766a7756d355221fa47fcc04c0ffd7d3cb4'
>>> secrets.token_urlsafe(10) # 生成文本字符串
'lkzkvSbqUtkWdA'
>>> s = ["A", "B", "C", "D", "E", "F"]
>>> secrets.choice(s) # 随机选取一个元素
'A'
使用 secrets 实现强密码生成器
使用 secrets 模块实现一个强密码生成器。
- 长度介于 8 到 16 之间。
- 至少 1 个小写字母。
- 至少 1 个大写字母。
- 至少 1 个数字。
- 至少有 1 个特殊字符。
import string
import secrets
import random
def generate_strong_password():
special_characters = '!#$%&@_~'
password_choices = string.ascii_letters + string.digits + special_characters
while True:
password = ''.join(secrets.choice(password_choices) for _ in range(random.randint(8, 16)))
if (any(c.islower() for c in password)
and any(c.isupper() for c in password)
and sum(special_characters.find(c) > -1 for c in password) == 1
and any(c.isdigit() for c in password)):
break
return password
for _ in range(10):
print(generate_strong_password())