Является ли угрозой безопасности использование частей GUID в качестве случайных паролей?

Question

Когда пользователи создают учетную запись в моем веб-приложении, я генерирую GUID и использую первые 8 символов в качестве пароля, который затем отправляется по электронной почте.

Есть ли угроза безопасности, которую я пропускаю при использовании GUID в качестве паролей? Я взглянул на вопрос Are GUIDs good passwords?, но этот вопрос касается личных паролей, а не случайных / сгенерированных паролей. В идеале, пользователи будут входить в систему и менять свой пароль, если они захотят.

Answer 1

Использование GUID s в качестве паролей - очень плохая идея.GUID генерируются очень предсказуемым и четко определенным образом.Иными словами, при наличии достаточного количества информации злоумышленник может предсказать пароли других пользователей.

Предсказуемый и четко определенный является полной противоположностью того, что вы хотите в генераторе паролей.

Answer 2

Да, если вы точно не знаете, как создается GUID. Например, некоторые GUID связывают MAC-адрес хоста с GUID. Если вы используете эти биты, это ставит под угрозу большой объем битового пространства для «случайного» пароля.

Проще говоря, GUID могут быть уникальными, но они не обязательно являются случайными.

Answer 3

«Криптоанализ генератора WinAPI GUID показывает, что, поскольку последовательность GUID V4 является псевдослучайной; при полном знании внутреннего состояния можно прогнозировать предыдущие и последующие значения».http://en.wikipedia.org/wiki/Globally_unique_identifier

Я бы этим не воспользовался.В конце концов, не так сложно использовать генератор случайных чисел, который должен быть как можно более случайным, а не пытаться гарантировать глобальную уникальность.

Answer 4

GUID входят в различные вкусы; у некоторых есть части, которые предсказуемы.

С другой стороны, генерировать случайные числа очень и очень легко.

Зачем использовать сомнительную технику, когда безопасная альтернатива легко доступна?

Answer 5

Эта статья говорит, что не используйте ее.

Answer 6

Использование части GUID или даже всего этого - очень плохая идея.Даже если большая часть этого числа случайная, нет гарантии, что какая-то конкретная часть будет.

Я не уверен, что будет много проблем с использованием хеша GUID, или, что еще лучше, хешобъединяет GUID с другим источником случайности (например, можно хэшировать время запуска программы, а затем генерировать код доступа, возвращая часть хэша предыдущего хэша и новый GUID).Если в генерации GUID вообще есть какая-то случайность, энтропия хэша должна увеличиваться с каждой итерацией.Обратите внимание, что пароль не должен раскрывать все значение хеша;часть этого должна храниться в секретном внутреннем состоянии.