Generando una contraseña aleatoria; ¿Por qué no es esto portátil?

Quiero generar una contraseña aleatoria, y lo estoy haciendo así:

</dev/urandom tr -dc [:print:] | head -c 64

En mi computadora portátil, que ejecuta Ubuntu, esto produce solo caracteres imprimibles, según lo previsto. Pero cuando entro en el servidor de mi escuela, que ejecuta Red Hat Enterprise Linux, y lo ejecuto allí, obtengo resultados como 3!ri�b�GrӴ��1�H�<�oM����&�nMC[�Pb�|L%MP�����9��fL2q���IFmsd|l�K, lo que no funcionará en absoluto. ¿Qué podría estar yendo mal aquí?

Es su problema local y tr .

Actualmente, GNU tr solo admite caracteres de un solo byte. Entonces, en entornos locales que usan codificaciones multibyte, la salida puede ser extraña:

$ </dev/urandom LC_ALL=vi_VN.tcvn tr -dc '[:print:]' | head -c 64
`�pv���Z����c�ox"�O���%�YR��F�>��췔��ovȪ������^,<H ���>

El shell imprimirá los caracteres de varios bytes correctamente, pero GNU treliminará los bytes que considere no imprimibles.

Si desea que sea estable, debe establecer la configuración regional:

$ </dev/urandom LC_ALL=C tr -dc '[:print:]' | head -c 64
RSmuiFH+537z+iY4ySz`{Pv6mJg::RB;/-2^{QnKkImpGuMSq92D(6N8QF?Y9Co@

Considere en su lugar

$ dd if=/dev/urandom bs=48 count=1 status=none | base64
imW/X60Sk9TQzl+mdS5PL7sfMy9k/qFBWWkzZjbYJttREsYpzIguWr/uRIhyisR7

Esto tiene dos ventajas:

• Usted lee solo 48 bytes del dispositivo aleatorio, no ~ 8 KB; Si otros procesos en el mismo host necesitan números aleatorios, 8 KB agotados de una vez puede ser un problema grave. (Sí, podría decirse que nadie debería estar usando el dispositivo aleatorio de bloqueo , pero la gente sí ).

• La salida de base64casi no contiene caracteres con significados especiales. (Para ninguno en absoluto, tachuela | tr +/ -_en el extremo, y (como en el ejemplo) asegurarse de que el número de bytes de entrada a base64es un múltiplo de 3.)

Una contraseña generada de esta manera tiene exactamente 384 bits de entropía, que es algo menor que lo que estaba haciendo (log ₂ 96 ⁶⁴ ≈ 421.4), pero más que suficiente para la mayoría de los propósitos (256 bits de entropía es seguro "todavía adivinando cuando El sol quema "territorio excepto para las claves RSA, AFAIK).

Otras personas ya señalaron que la configuración regional determina lo que [:print:]significa. Sin embargo, no todos los caracteres imprimibles son adecuados para contraseñas (ni siquiera en ascii). ¿Realmente no quieres espacios, pestañas y # $% ^? en su contraseña: no solo es difícil de recordar, también es potencialmente peligroso para el sistema de autenticación subyacente, puede ser imposible ingresar en un campo de entrada, etc. En este caso, debe seleccionar manualmente los caracteres "sanos":

LC_ALL=C </dev/urandom tr -dc '[:alnum:]_' | head -c 64

o simplemente

</dev/urandom tr -dc 'A-Za-z0-9_' | head -c 64

O incluso mejor, use base64como se sugiere en otras respuestas.

Qué pasa

tr -dc [:print:] < /dev/urandom | head -c 64 | strings

las cadenas deben imprimir la salida de urandom en un formato imprimible

No sé si hay alguna razón por la que usas /dev/randompara generar la contraseña, pero te recomendaría usar pwgen para aliviar tu dolor.

$ pwgen -s 10 1

Donde 10 es la longitud de la contraseña.

http://man.cx/pwgen

#Chars allowed in password (I don't like l,o,O, etc):
P="0123456789ABCDEFGHIJKLMNPQRSTUVWXYZabcdefghijkmnpqrstuvwxyz"

#Or such:
#P="a-zA-Z0-9"

head -c 8 < /dev/urandom | tr '\000-\377' "$P$P$P$P$P"
echo

Este método en mi humilde opinión es más inteligente cuando se consumen datos de / dev / urandom. La cadena pegada como $ P $ P $ P ... debe tener al menos 256 caracteres de longitud.