我知道PHP的 mt_rand()
不应该用于安全目的,因为其结果不具备密码学强度。 然而,很多PHP代码仍然这样使用,或者在更好的随机源不可用时使用它作为后备。
那么情况有多糟糕? mt_rand
使用哪些随机源进行种子生成?而且,在密码应用中,mt_rand
还存在其他安全问题吗?
我知道PHP的 mt_rand()
不应该用于安全目的,因为其结果不具备密码学强度。 然而,很多PHP代码仍然这样使用,或者在更好的随机源不可用时使用它作为后备。
那么情况有多糟糕? mt_rand
使用哪些随机源进行种子生成?而且,在密码应用中,mt_rand
还存在其他安全问题吗?
/dev/random/
是由Fortuna算法填充的,这个算法是具有密码学安全性的。 - Leighmt_rand()
的所有漏洞让我即使只是为了那个也感到不安。 - user213154