PHPで解析できない乱数を発生させる方法

セキュアな乱数を発生させる良いアイデアはありますか？
ユーザーがパスワードを忘れて、問い合わせがあった場合に、ユーザーに利用させる新規パスワードの値として使う予定です。

ユーザーが入力したオリジナルのパスは、ハッシュ値で保持しているので、サーバー上に存在しません。
ですので、暗号的に解析不可能な乱数でパスワードを作る必要があります。
ホスティングサービスが、モジュールのインストールを許可してくれないので、PHPスクリプト側でセキュアな乱数を発生させる方法を探しているのです。

行動規範の内容に同意します

回答4件

環境がPHP5.3以降ならばopenssl_random_pseudo_bytes()はいかがでしょうか。
http://php.net/manual/ja/function.openssl-random-pseudo-bytes.php

実際に使う際には、下記のようにして乱数を初期化します。

lang
1mt_srand(hexdec(bin2hex(openssl_random_pseudo_bytes(4))));

投稿2014/10/23 07:30

kanko002

総合スコア27

ベストアンサー

初めまして、解答失礼いたします。
PHPで解析不可能な乱数を作りたいとのことなのですが、
sha1による暗号化は1方向のアルゴリズムなので不可逆暗号になります。

CSRF対策などのToken生成でよく使われるコードなのですが、
モジュールのインストールも特に必要なく、PHPを利用しているサーバーでしたら、
大抵使えると思いますので、よかったらお試しください。

lang
1$rand_str = sha1(uniqid(mt_rand(),true));

投稿2014/10/25 06:58

rui3718

総合スコア113

openssl_random_pseudo_bytes の値をそのまま使うのが良いと思いますよ。

lang
1<?php
2function random($n = 8)
3{
4    return strtr(substr(base64_encode(openssl_random_pseudo_bytes($n)),0,$n),'/+','_-');
5}

投稿2014/10/28 05:06

ngyuki

総合スコア4514

ちょっと方向性が違いますが、登録済みメールアドレスにパスワード再発行ページのリンクを送信し、パスワード再発行ページで新しいパスワードを入力させると言う方式がよくあると思います。
この場合、パスワード再発行ページはタイムアウトの機構を入れる必要がありますが。
このような方式も検討されるといいかもしれません。
（メールアドレスを登録しないサービスでは実現できませんが。）

投稿2014/10/25 11:32