Является ли этот генератор паролей предвзятым?

Question

Есть ли недостаток в этой команде для генерации паролей?

head -c 8 /dev/random | uuencode -m - | sed -n '2s/=*$//;2p'

После создания несколько паролей с ним, я начал подозревать, что он, как правило, в пользу определенных символов. Конечно, люди хорошо видят шаблоны там, где их нет, поэтому я решил проверить команду на более крупном образце. Результаты приведены ниже.

Из образца 12 000 сгенерированных (12-значных) паролей здесь приведены самые и наименее распространенные письма и сколько раз они появляются.

TOP 10   BOTTOM 10 

Freq | Char  Freq | Char 
-----|-----  -----|----- 
2751 | I   1833 | p 
2748 | Q   1831 | V 
2714 | w   1825 | 1 
2690 | Y   1821 | r 
2673 | k   1817 | 7 
2642 | o   1815 | R 
2628 | g   1815 | 2 
2609 | 4   1809 | u 
2605 | 8   1791 | P 
2592 | c   1787 | + 

Так, например, «Я» появляется более чем в 1,5 раза чаще, чем «+».

Является ли это статистически значимым? Если да, то как можно улучшить команду?

Answer 1

Да, я думаю, что это будет предвзято. uuencode требует 3 байта для каждого 4 выходных символа. так как вы даете ему 8 байтов, последний байт является дополнением некоторого (неслучайного) вида и который будет смещать 12-й символ (и немного влияет на 11-й).

вы можете попробовать

head -c 9 /dev/random | uuencode -m - 

(с 9 вместо 8), а не оставлять его результаты? это не должно иметь такой же проблемы.

пса также, вы больше не нужно уронить «=» отступы, так как это кратно 3.

http://en.wikipedia.org/wiki/Uuencoding

бода это, безусловно, представляется статистически значимым. вы ожидаете естественного изменения sqrt (mean), который (догадки) sqrt (2000) или около 40. Таким образом, три отклонения от этого, +/- 120 или 1880-2120 должны содержать 99% букв - вы видите что-то гораздо более систематическим.

ppps аккуратная идея.

ooops Я только что осознал -m для uuencode заставляет base64 вместо алгоритма uudecode, но та же идея применяется.