Menghasilkan kata sandi acak; mengapa ini tidak portabel?

Saya ingin membuat kata sandi acak, dan saya melakukannya seperti ini:

</dev/urandom tr -dc [:print:] | head -c 64

Di laptop saya, yang menjalankan Ubuntu, ini hanya menghasilkan karakter yang dapat dicetak, sebagaimana dimaksud. Tetapi ketika saya ssh ke server sekolah saya, yang menjalankan Red Hat Enterprise Linux, dan menjalankannya di sana, saya mendapatkan output seperti 3!ri�b�GrӴ��1�H�<�oM����&�nMC[�Pb�|L%MP�����9��fL2q���IFmsd|l�K, yang tidak akan berhasil sama sekali. Apa yang salah di sini?

Ini masalah lokal dan tr Anda .

Saat ini, GNU tr sepenuhnya hanya mendukung karakter byte tunggal. Jadi di lokal menggunakan pengkodean multibyte, hasilnya bisa aneh:

$ </dev/urandom LC_ALL=vi_VN.tcvn tr -dc '[:print:]' | head -c 64
`�pv���Z����c�ox"�O���%�YR��F�>��췔��ovȪ������^,<H ���>

Shell akan mencetak karakter multi-byte dengan benar, tetapi GNU trakan menghapus byte yang menurutnya tidak dapat dicetak.

Jika Anda ingin itu stabil, Anda harus mengatur lokal:

$ </dev/urandom LC_ALL=C tr -dc '[:print:]' | head -c 64
RSmuiFH+537z+iY4ySz`{Pv6mJg::RB;/-2^{QnKkImpGuMSq92D(6N8QF?Y9Co@

Pertimbangkan saja

$ dd if=/dev/urandom bs=48 count=1 status=none | base64
imW/X60Sk9TQzl+mdS5PL7sfMy9k/qFBWWkzZjbYJttREsYpzIguWr/uRIhyisR7

Ini memiliki dua keunggulan:

• Anda hanya membaca 48 byte dari perangkat acak, bukan ~ 8KB; jika proses lain pada host yang sama membutuhkan angka acak, 8KB yang dikuras sekaligus bisa menjadi masalah serius. (Ya, bisa dibilang tidak ada yang harus menggunakan perangkat acak pemblokiran , tetapi orang - orang melakukannya .)

• Keluaran base64hampir tidak mengandung karakter dengan makna khusus. (Untuk tidak sama sekali, taktik | tr +/ -_pada akhirnya, dan (seperti pada contoh) memastikan jumlah byte masukan untuk base64merupakan kelipatan dari 3.)

Kata sandi yang dihasilkan dengan cara ini memiliki tepat 384 bit entropi, yang agak kurang dari apa yang Anda lakukan (log ₂ 96 ⁶⁴ ≈ 421,4), tetapi lebih dari cukup untuk sebagian besar tujuan (256 bit entropi aman dalam "masih menebak ketika" Wilayah "Matahari terbakar habis" kecuali untuk kunci RSA, AFAIK).

Orang lain sudah menunjukkan bahwa lokal menentukan apa [:print:]artinya. Namun, tidak semua karakter yang dapat dicetak cocok untuk kata sandi (bahkan dalam ascii). Anda benar-benar tidak ingin spasi, tab, dan # $% ^? di kata sandi Anda - itu tidak hanya sulit untuk diingat, itu juga berpotensi berbahaya bagi sistem otentikasi yang mendasarinya, mungkin tidak mungkin untuk masuk dalam bidang input, dan sebagainya. Dalam hal ini, Anda harus memilih karakter "waras" secara manual:

LC_ALL=C </dev/urandom tr -dc '[:alnum:]_' | head -c 64

atau sederhana

</dev/urandom tr -dc 'A-Za-z0-9_' | head -c 64

Atau bahkan lebih baik, gunakan base64seperti yang disarankan dalam jawaban lain.

Bagaimana dengan

tr -dc [:print:] < /dev/urandom | head -c 64 | strings

string harus mencetak output urandom dalam format yang dapat dicetak

Saya tidak tahu apakah ada alasan mengapa Anda menggunakan /dev/randomuntuk menghasilkan kata sandi, tapi saya akan merekomendasikan Anda menggunakan pwgen untuk mengurangi rasa sakit Anda.

$ pwgen -s 10 1

Di mana 10 adalah panjang kata sandi.

http://man.cx/pwgen

#Chars allowed in password (I don't like l,o,O, etc):
P="0123456789ABCDEFGHIJKLMNPQRSTUVWXYZabcdefghijkmnpqrstuvwxyz"

#Or such:
#P="a-zA-Z0-9"

head -c 8 < /dev/urandom | tr '\000-\377' "$P$P$P$P$P"
echo

Metode ini IMHO lebih pintar ketika mengkonsumsi data dari / dev / urandom String yang disisipkan sebagai $ P $ P $ P ... harus memiliki setidaknya 256 karakter.