secrets --- 生成管理密碼的安全隨機數(shù)?

3.6 新版功能.

源代碼: Lib/secrets.py

secrets 模塊用于生成高度加密的隨機數(shù),適于管理密碼、賬戶驗證、安全憑據(jù)及機密數(shù)據(jù)。

最好用 secrets 替代 random 模塊的默認偽隨機數(shù)生成器,該生成器適用于建模和模擬,不宜用于安全與加密。

參見

PEP 506

隨機數(shù)?

secrets 模塊是操作系統(tǒng)提供的最安全地隨機性來源。

class secrets.SystemRandom?

用操作系統(tǒng)提供的最高質(zhì)量源生成隨機數(shù)的類。詳見 random.SystemRandom。

secrets.choice(sequence)?

返回從非空序列中隨機選取的元素。

secrets.randbelow(n)?

返回 [0, n) 范圍內(nèi)的隨機整數(shù)。

secrets.randbits(k)?

返回 k 個隨機比特位的整數(shù)。

生成 Token?

secrets 模塊提供了生成安全 Token 的函數(shù),適用于密碼重置、密保 URL 等應用場景。

secrets.token_bytes([nbytes=None])?

返回含 nbytes 個字節(jié)的隨機字節(jié)字符串。如果未提供 nbytes,或*nbytes* 為 None,則使用合理的默認值。

>>>
>>> token_bytes(16)  
b'\xebr\x17D*t\xae\xd4\xe3S\xb6\xe2\xebP1\x8b'
secrets.token_hex([nbytes=None])?

返回十六進制隨機文本字符串。字符串有 nbytes 個隨機字節(jié),每個字節(jié)轉(zhuǎn)換為兩個十六進制數(shù)碼。未提供 nbytes 或為 None 時,則使用合理的默認值。

>>>
>>> token_hex(16)  
'f9bf78b9a18ce6d46a0cd2b0b86df9da'
secrets.token_urlsafe([nbytes=None])?

返回安全的 URL 隨機文本字符串,包含 nbytes 個隨機字節(jié)。文本用 Base64 編碼,平均來說,每個字節(jié)對應 1.3 個結果字符。未提供 nbytes 或為 None 時,則使用合理的默認值。

>>>
>>> token_urlsafe(16)  
'Drmhze6EPcv0fN_81Bj-nA'

Token 應當使用多少個字節(jié)??

為了在面對 暴力攻擊 時保證安全,Token 的隨機性必須足夠高。隨著計算機推衍能力的不斷提升,隨機性的安全標準也要不斷提高。比如 2015 年,32 字節(jié)(256 位)的隨機性對于 secrets 模塊的典型用例就已經(jīng)足夠了。

要自行管理 Token 長度的用戶,可以通過為 token_* 函數(shù)指定 int 參數(shù)顯式指定 Token 要使用多大的隨機性。該參數(shù)以字節(jié)數(shù)表示隨機性大小。

反之,如果未提供參數(shù),或參數(shù)為 None,則 token_* 函數(shù)將使用合理的默認值。

備注

該默認值隨時可能會改變,比如,版本更新的時候。

其他功能?

secrets.compare_digest(a, b)?

字符串 ab 相等則返回 True,否則返回 False,這種方式可降低 定時攻擊 的風險。詳見 hmac.compare_digest()。

應用技巧與最佳實踐?

本節(jié)展示了一些使用 secrets 管理基本安全級別的應用技巧和最佳實踐。

生成長度為八個字符的字母數(shù)字密碼:

import string
import secrets
alphabet = string.ascii_letters + string.digits
password = ''.join(secrets.choice(alphabet) for i in range(8))

備注

應用程序不能 以可恢復的格式存儲密碼,無論是用純文本還是加密。 它們應當使用高加密強度的單向(不可恢復)哈希函數(shù)來加鹽并生成哈希值。

生成長度為十個字符的字母數(shù)字密碼,包含至少一個小寫字母,至少一個大寫字母以及至少三個數(shù)字:

import string
import secrets
alphabet = string.ascii_letters + string.digits
while True:
    password = ''.join(secrets.choice(alphabet) for i in range(10))
    if (any(c.islower() for c in password)
            and any(c.isupper() for c in password)
            and sum(c.isdigit() for c in password) >= 3):
        break

生成 XKCD 風格的密碼串

import secrets
# On standard Linux systems, use a convenient dictionary file.
# Other platforms may need to provide their own word-list.
with open('/usr/share/dict/words') as f:
    words = [word.strip() for word in f]
    password = ' '.join(secrets.choice(words) for i in range(4))

生成臨時密保 URL,包含密碼恢復應用的安全 Token:

import secrets
url = 'https://example.com/reset=' + secrets.token_urlsafe()