使用rand生成確認碼安全嗎？ php

Question

當用戶想要重置他的密碼時，我會向他的電子郵件發送一個6位數的密碼，然後檢查用戶是否輸入了匹配的密碼！

我生成使用rand函數的代碼：

$code = rand (100000, 999999); 

是安全的這樣做呢？

Answer 1

編號假設您想重置特權用戶的密碼。攻擊者所要做的就是針對他們控制的未經授權的帳戶（或多個帳戶）發出一堆重置，以預測下一個隨機值。這意味着他們可以爲特權用戶請求重置密碼（例如「管理員」），然後接管該帳戶。

的更多信息：

• https://security.stackexchange.com/a/18034
• https://stackoverflow.com/a/10216521/2224584

如果你真的想爲任何類型的安全保護功能的不可預測的隨機數字，隨意使用這個庫，我寫和維護：

https://github.com/resonantcore/lib/blob/master/src/Secure.php

$iRandom = \Resonantcore\Lib\Secure::random(100000, 999999); 

注意，這是很快將要採取/重構到這個倉庫在不久的將來（並提供甚至可能使其進入PHP 7的核心功能）：https://github.com/SammyK/php-src-csprng

$iRandom = random_int(100000, 999999); 

它的不存在然而，儘管如此。我的代碼今天起作用。

如果你不信任我，您還可以檢查出安東尼費拉拉的精彩RandomLib項目：https://github.com/ircmaxell/RandomLib

$factory = new RandomLib\Factory; 
$generator = $factory->getGenerator(new SecurityLib\Strength(SecurityLib\Strength::MEDIUM)); 

$iRandom = $generator->generateInt(100000, 999999); 

不要使用rand()或mt_rand()任何身份驗證（或繞過認證）的目的。永遠。

此外，您可能想要使用比6位數字更大的蠻力空間。一個十六進制編碼的32字節字符串應該足以阻止實際的和所有已知的理論攻擊。