黑客眼中的OpenSSL：强大的密码工具

　　产生一个密语

　　OpenSSL能创建非常强壮的随机密语：

　　$ openssl rand 15 -base64

　　wGcwstkb8Er0g6w1+Dm+

　　如果你运行了这个例子，你的输出将与这里的输出不同，因为密语是随机产生的。

　　第一个参数15是产生的二进制字节数，第二个参数-base64指出那些二进制字节应该用基于64位字符编码，对于15字节而言，输出总是20个字符，加上一个新行字符。

　　基于64位字符设定了只由大写和小写的字母A-Z，数字1-9和3个标点字符：加号、斜线号和等号。这是一个有意的字符限制设置，更复杂的字符设置不是必需的，仅仅增加一个额外的字符使得安全变得不同，例如：一个8位字符完全可打印的ASCII密码大约与一个9位字符基于64位字符编码的密码强度相当。

　　尽管可以使用openssl rand快速生成密语，但是专业的密语生成器生成强壮的并容易记忆的密语，我强烈推荐使用它。

　　加密密码

　　还有一些事情是GnuPg不能做的，OpenSSL内置了一个命令用来创建加密的linux密码，就象/bin/passwd一样。

　　跳过这个段落避免陷入钻牛角尖的密码术，尽管通常叫做加密，linux密码实际上使用的是MD5或旧的UNIX密码打乱机制（基于DES加密算法），这就允许linux不知道你的密码，即使你提供了正确的密码让它知道了。当你设置你的密码时，linux打乱你的密码并保存在/etc/shadow中，当你登陆时，linux提取你输入的密码并再打乱一次，再与保存在/etc/shadow中的进行比较，如果匹配你提供的就是正确的密码，你就能登陆，如果不匹配，你也不清楚密码是好多了，因为存储的是打乱后的数据，计算机也不会知道你的密码是好多，反正你是不能登陆进去的。

　　这就是为什么打乱你自己的密码有用了，假设你在另一个计算机上需要一个新密码，或许它是一个新账号或你忘记了旧的密码让管理员给你重设密码，如果你能亲自告诉管理员，那么没有问题，但是如果管理员不在怎么办呢？或许你从来都没有和管理员见过面，你怎么传输你的新密码？电子邮件是不安全的，电话可能要好一点，邮寄一封信可能要好几天（可能会有其他安全问题），传真机，文本消息和大多数纸张上的东西是不安全的。