Q&A
セキュアな乱数を発生させる良いアイデアはありますか?
ユーザーがパスワードを忘れて、問い合わせがあった場合に、ユーザーに利用させる新規パスワードの値として使う予定です。
ユーザーが入力したオリジナルのパスは、ハッシュ値で保持しているので、サーバー上に存在しません。
ですので、暗号的に解析不可能な乱数でパスワードを作る必要があります。
ホスティングサービスが、モジュールのインストールを許可してくれないので、PHPスクリプト側でセキュアな乱数を発生させる方法を探しているのです。
回答4件
0
環境がPHP5.3以降ならばopenssl_random_pseudo_bytes()はいかがでしょうか。
http://php.net/manual/ja/function.openssl-random-pseudo-bytes.php
実際に使う際には、下記のようにして乱数を初期化します。
lang
1mt_srand(hexdec(bin2hex(openssl_random_pseudo_bytes(4))));
投稿2014/10/23 07:30
総合スコア27
0
ベストアンサー
初めまして、解答失礼いたします。
PHPで解析不可能な乱数を作りたいとのことなのですが、
sha1による暗号化は1方向のアルゴリズムなので不可逆暗号になります。
CSRF対策などのToken生成でよく使われるコードなのですが、
モジュールのインストールも特に必要なく、PHPを利用しているサーバーでしたら、
大抵使えると思いますので、よかったらお試しください。
lang
1$rand_str = sha1(uniqid(mt_rand(),true));
投稿2014/10/25 06:58
総合スコア113
0
openssl_random_pseudo_bytes の値をそのまま使うのが良いと思いますよ。
lang
1<?php 2function random($n = 8) 3{ 4 return strtr(substr(base64_encode(openssl_random_pseudo_bytes($n)),0,$n),'/+','_-'); 5}
投稿2014/10/28 05:06
総合スコア4516
0
ちょっと方向性が違いますが、登録済みメールアドレスにパスワード再発行ページのリンクを送信し、パスワード再発行ページで新しいパスワードを入力させると言う方式がよくあると思います。
この場合、パスワード再発行ページはタイムアウトの機構を入れる必要がありますが。
このような方式も検討されるといいかもしれません。
(メールアドレスを登録しないサービスでは実現できませんが。)
投稿2014/10/25 11:32
総合スコア1356
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。