这个问题涉及创建身份验证方案。在这里,AviD给出的被接受的答案指出,你使用加密nonce(一次性数码)也很重要,但许多人倾向于跳过它,例如,“让我们只使用GUID”...
这就引出了我的问题:为什么不使用GUID呢?
这就引出了我的问题:为什么不使用GUID呢?
2个回答
9
每当您随机生成一个用于密码学的随机数时,您应该非常确定这个数字是真正的随机数。GUID通常基于可以被发现、猜测或推断出来的值生成,如当前系统时间或网络卡MAC地址,因此nonce可能会被猜测到。
- nlawalker
3
随机数应该是随机的(或者至少不容易被猜到)。 GUID 具有相当多的非随机性(我不确定一个 GUID 中有多少比特的熵)。
- Michael Burr
1
由于对GUID的定义和生成方式存在不同的解释,所以“GUID中有多少位熵?”这个假设性问题几乎毫无意义。更糟糕的是,我认为所有的定义都没有明确规定随机数的生成标准,因此GUID中的所有随机性理论上都可能来自用硬币抛掷种子PRNG。 - Nicholas Knight
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接