Générer un mot de passe aléatoire; pourquoi n'est-ce pas portable?

Je veux générer un mot de passe aléatoire, et je le fais comme ceci:

</dev/urandom tr -dc [:print:] | head -c 64

Sur mon ordinateur portable, qui exécute Ubuntu, cela ne produit que des caractères imprimables, comme prévu. Mais quand je ssh sur le serveur de mon école, qui exécute Red Hat Enterprise Linux, et que je l'exécute là-bas, j'obtiens des sorties comme 3!ri�b�GrӴ��1�H�<�oM����&�nMC[�Pb�|L%MP�����9��fL2q���IFmsd|l�K, ce qui ne fonctionnera pas du tout. Qu'est-ce qui pourrait mal tourner ici?

C'est votre problème local et tr .

Actuellement, GNU tr ne prend entièrement en charge que les caractères codés sur un octet. Donc, dans les environnements locaux utilisant des encodages multi-octets, la sortie peut être bizarre:

$ </dev/urandom LC_ALL=vi_VN.tcvn tr -dc '[:print:]' | head -c 64
`�pv���Z����c�ox"�O���%�YR��F�>��췔��ovȪ������^,<H ���>

Le shell imprimera correctement les caractères multi-octets, mais GNU trsupprimera les octets qu'il pense non imprimables.

Si vous voulez qu'il soit stable, vous devez définir les paramètres régionaux:

$ </dev/urandom LC_ALL=C tr -dc '[:print:]' | head -c 64
RSmuiFH+537z+iY4ySz`{Pv6mJg::RB;/-2^{QnKkImpGuMSq92D(6N8QF?Y9Co@

Considérez plutôt

$ dd if=/dev/urandom bs=48 count=1 status=none | base64
imW/X60Sk9TQzl+mdS5PL7sfMy9k/qFBWWkzZjbYJttREsYpzIguWr/uRIhyisR7

Cela présente deux avantages:

• Vous ne lisez que 48 octets à partir du périphérique aléatoire, pas ~ 8 Ko; si d'autres processus sur le même hôte nécessitent des nombres aléatoires, 8 Ko drainés en même temps peuvent être un problème grave. (Oui, sans doute personne ne devrait utiliser le dispositif aléatoire de blocage , mais les gens le font .)

• La sortie de base64contient presque aucun caractère avec des significations spéciales. (Pour rien du tout, amure | tr +/ -_à la fin, et (comme dans l'exemple) assurez - vous que le nombre d'octets d' entrée à base64est un multiple de 3.)

Un mot de passe généré de cette façon a exactement 384 bits d'entropie, ce qui est un peu moins que ce que vous faisiez (journal ₂ 96 ⁶⁴ ≈ 421.4), mais plus que suffisant pour la plupart des fins (256 bits d'entropie sont en toute sécurité dans "toujours en devinant quand le Soleil brûle "territoire à l' exception des clés RSA, AFAIK).

D'autres personnes ont déjà souligné que les paramètres régionaux déterminent ce que cela [:print:]signifie. Cependant, tous les caractères imprimables ne conviennent pas aux mots de passe (même pas en ascii). Vous ne voulez vraiment pas d'espaces, de tabulations et de # $% ^? dans votre mot de passe - ce n'est pas seulement difficile à retenir, il est également potentiellement dangereux pour le système d'authentification sous-jacent, il peut être impossible d'entrer dans un champ de saisie, etc. Dans ce cas, vous devez simplement sélectionner manuellement les caractères "sains":

LC_ALL=C </dev/urandom tr -dc '[:alnum:]_' | head -c 64

ou simplement

</dev/urandom tr -dc 'A-Za-z0-9_' | head -c 64

Ou encore mieux, utilisez base64comme suggéré dans d'autres réponses.

Qu'en est-il de

tr -dc [:print:] < /dev/urandom | head -c 64 | strings

les chaînes doivent imprimer la sortie d'urandom dans un format imprimable

Je ne sais pas s'il y a une raison pour laquelle vous utilisez /dev/randompour générer le mot de passe, mais je vous recommanderais d'utiliser pwgen afin de soulager votre douleur.

$ pwgen -s 10 1

Où 10 est la longueur du mot de passe.

http://man.cx/pwgen

#Chars allowed in password (I don't like l,o,O, etc):
P="0123456789ABCDEFGHIJKLMNPQRSTUVWXYZabcdefghijkmnpqrstuvwxyz"

#Or such:
#P="a-zA-Z0-9"

head -c 8 < /dev/urandom | tr '\000-\377' "$P$P$P$P$P"
echo

Cette méthode à mon humble avis est plus intelligente lorsque vous consommez des données de / dev / urandom La chaîne collée comme $ P $ P $ P ... doit être d'au moins 256 caractères.