Python的random模块不安全,因其基于可预测的Mersenne Twister算法;应改用secrets模块或os.urandom()生成密码学安全随机数,避免使用非明确声明“cryptographically secure”的函数。
Python 的 random 模块不是密码学安全的
绝大多数 Python 程序员调用 random.randint() 或 random.choice() 时,其实用的是 Mersenne Twister(MT19937)算法——它速度快、周期长(2¹⁹⁹³⁷−1),但**完全可预测**:只要知道连续 624 个输出值,就能反推出整个内部状态,进而预测所有后续随机数。
这意味着:
- 用
random生成验证码、临时 token、抽奖结果,没问题; - 用它生成 API 密钥、加密盐值(salt)、会话 ID,就是严重安全隐患;
- 即使加了
random.seed(int(time.time())),也毫无意义——时间戳本身可被猜测或爆破。
真正安全的替代方案只有 secrets 模块
Python 3.6+ 内置的 secrets 模块专为密码学安全设计,底层直接调用操作系统提供的熵源(如 Linux 的 /dev/urandom、Windows 的 BCryptGenRandom),不依赖软件算法,不可预测、无状态、不缓存。
常用操作对应关系:
立即学习“Python免费学习笔记(深入)”;
- 代替
random.randint(a, b)→secrets.randbelow(b - a + 1) + a; - 代替
random.choice(seq)→secrets.choice(seq); - 生成 token(如 URL 安全 Base64)→
secrets.token_urlsafe(32); - 生成十六进制密钥 →
secrets.token_hex(16)(32 字符);
注意:secrets 不提供 random.shuffle() 这类原地打乱方法,需手动实现 Fisher-Yates 并配合 secrets.randbelow()。
os.urandom() 是更底层但更灵活的选择
当 secrets 模块无法满足需求(比如要控制字节长度、自定义编码逻辑),可直接使用 os.urandom(n)——它返回 n 字节的加密安全随机数据,是 secrets 的基础。
常见误用点:
- 把
os.urandom(4)当作整数直接用 → 实际是 bytes,需转成 int:int.from_bytes(os.urandom(4), 'big'); - 在循环里反复调用
os.urandom(1)生成大量小随机数 → 性能差,应一次取够再切片; - 试图用
struct.unpack()解析os.urandom()结果却不校验字节长度 → 可能抛struct.error。
第三方库如 pycryptodome 不该用于“替代 random”
有人看到 Crypto.Random 就以为更高级,其实它和 os.urandom() 底层同源,只是封装冗余;而旧版 pycrypto 已废弃且有已知漏洞。除非你在写密码学协议(如实现 HMAC、AES-GCM),否则没必要引入这些库来“生成随机数”。
真正需要警惕的是那些文档没明确写“cryptographically secure”的工具函数,比如某些 web 框架的 generate_random_string() ——务必查源码或文档确认是否基于 secrets 或 os.urandom()。
最常被忽略的一点:Django 的 get_random_string() 默认不安全(基于 random),必须显式传参 allowed_chars=string.ascii_letters + string.digits 并配合 secrets.choice 手动重写——它本身不自动升级为安全模式。
