Generierung eines zufälligen Passworts; Warum ist das nicht tragbar?

Ich möchte ein zufälliges Passwort generieren und mache es so:

</dev/urandom tr -dc [:print:] | head -c 64

Auf meinem Laptop, auf dem Ubuntu läuft, werden wie vorgesehen nur druckbare Zeichen erzeugt. Aber wenn ich in den Server meiner Schule, auf dem Red Hat Enterprise Linux ausgeführt wird, ssh und ihn dort ausführe, erhalte ich Ausgaben wie 3!ri�b�GrӴ��1�H�<�oM����&�nMC[�Pb�|L%MP�����9��fL2q���IFmsd|l�K, die überhaupt nicht funktionieren. Was könnte hier schief gehen?

Es ist Ihre locale und tr Problem.

Derzeit unterstützt GNU tr nur Einzelbyte-Zeichen. In Gebietsschemas mit Multibyte-Codierungen kann die Ausgabe also komisch sein:

$ </dev/urandom LC_ALL=vi_VN.tcvn tr -dc '[:print:]' | head -c 64
`�pv���Z����c�ox"�O���%�YR��F�>��췔��ovȪ������^,<H ���>

Die Shell druckt Multibyte-Zeichen korrekt aus, GNU trentfernt jedoch Bytes, die er für nicht druckbar hält.

Wenn es stabil sein soll, müssen Sie das Gebietsschema festlegen:

$ </dev/urandom LC_ALL=C tr -dc '[:print:]' | head -c 64
RSmuiFH+537z+iY4ySz`{Pv6mJg::RB;/-2^{QnKkImpGuMSq92D(6N8QF?Y9Co@

Betrachten Sie stattdessen

$ dd if=/dev/urandom bs=48 count=1 status=none | base64
imW/X60Sk9TQzl+mdS5PL7sfMy9k/qFBWWkzZjbYJttREsYpzIguWr/uRIhyisR7

Das hat zwei Vorteile:

• Sie lesen nur 48 Bytes vom zufälligen Gerät, nicht ~ 8 KB; Wenn andere Prozesse auf demselben Host Zufallszahlen benötigen, kann die gleichzeitige Entleerung von 8 KB ein ernstes Problem sein. (Ja, wohl sollte niemand das blockierende Zufallsgerät verwenden, aber die Leute tun es .)

• Die Ausgabe von base64enthält fast keine Sonderzeichen. (Für gar keinen, tack | tr +/ -_am Ende, und (wie im Beispiel) stellen Sie sicher , die Anzahl von Bytes Eingang zu base64einem Vielfach von 3)

Ein auf diese Weise generiertes Passwort hat genau 384 Entropiebits, was etwas weniger ist als das, was Sie getan haben (log ₂ 96 ⁶⁴ ≈ 421.4), aber für die meisten Zwecke mehr als genug (256 Entropiebits sind sicher in "noch zu erraten, wann die Sonne brennt aus "Gebiet mit Ausnahme von RSA-Schlüsseln (AFAIK).

Andere Leute haben bereits darauf hingewiesen, dass das Gebietsschema bestimmt, was [:print:]bedeutet. Allerdings sind nicht alle druckbaren Zeichen für Passwörter geeignet (auch nicht in ASCII). Sie möchten wirklich keine Leerzeichen, Tabulatoren und # $% ^? in Ihrem Passwort - es ist nicht nur schwer zu merken, es ist auch potentiell gefährlich für das zugrunde liegende Authentifizierungssystem, es kann unmöglich sein, in ein Eingabefeld zu gelangen, und so weiter. In diesem Fall sollten Sie "gesunde" Zeichen nur manuell auswählen:

LC_ALL=C </dev/urandom tr -dc '[:alnum:]_' | head -c 64

oder einfach

</dev/urandom tr -dc 'A-Za-z0-9_' | head -c 64

Oder noch besser, base64wie in anderen Antworten vorgeschlagen.

Wie wäre es mit

tr -dc [:print:] < /dev/urandom | head -c 64 | strings

Zeichenfolgen sollten die Ausgabe von urandom in einem druckbaren Format drucken

Ich weiß nicht, ob es einen Grund gibt, warum Sie /dev/randomdas Passwort generieren, aber ich würde Ihnen empfehlen, pwgen zu verwenden, um Ihre Schmerzen zu lindern.

$ pwgen -s 10 1

Wobei 10 die Länge des Passworts ist.

http://man.cx/pwgen

#Chars allowed in password (I don't like l,o,O, etc):
P="0123456789ABCDEFGHIJKLMNPQRSTUVWXYZabcdefghijkmnpqrstuvwxyz"

#Or such:
#P="a-zA-Z0-9"

head -c 8 < /dev/urandom | tr '\000-\377' "$P$P$P$P$P"
echo

Diese Methode ist intelligenter, wenn Daten aus / dev / urandom verwendet werden. Die als $ P $ P $ P ... eingefügte Zeichenfolge muss mindestens 256 Zeichen lang sein.