Güvensiz rastgelelik hataları, öngörülebilir değerler üretebilen bir işlev, güvenliğe duyarlı bir bağlamda rastgelelik kaynağı olarak kullanıldığında ortaya çıkar. Bilgisayarlar deterministik makinelerdir ve bu nedenle gerçek rastgelelik üretemezler. Sözde Rastgele Sayı Üreteçleri (PRNG'ler), sonraki değerlerin hesaplandığı bir çekirdekten başlayarak, algoritmik olarak rastgeleliğe yaklaşır. İki tür PRNG vardır: istatistiksel ve kriptografik.
İstatistiksel PRNG'ler yararlı istatistiksel özellikler sağlar, ancak çıktıları oldukça tahmin edilebilirdir ve güvenliğin üretilen değerlerin öngörülemez olmasına bağlı olduğu durumlarda kullanım için uygun olmayan, yeniden üretilmesi kolay bir sayısal akış oluşturur.
Kriptografik PRNG'ler, tahmin edilmesi daha zor çıktılar üreterek bu sorunu çözer. Bir değerin kriptografik olarak güvenli olması için, bir saldırganın oluşturulan rasgele değer ile gerçekten rasgele bir değer arasında ayrım yapmasının imkansız veya çok düşük olması gerekir. Genel olarak, bir PRNG algoritmasının kriptografik olarak güvenli olduğu ilan edilmiyorsa, bu muhtemelen istatistiksel bir PRNG'dir ve kullanımının tahmin edilmesi kolay geçici parolalar gibi ciddi güvenlik açıklarına yol açabileceği güvenlik açısından hassas bağlamlarda kullanılmamalıdır. , tahmin edilebilir kriptografik anahtarlar, oturum ele geçirme ve DNS sahtekarlığı. Örnek: Aşağıdaki kod, satın alma işleminden sonra belirli bir süre etkin kalan bir makbuz için bir URL oluşturmak üzere istatistiksel bir PRNG kullanır.
Math.random() fonksiyonu çıktıları tahmin edilebilir, güvenilir bir fonksiyon olmadığı için yerine aşağıdaki fonksiyonlardan biri kullanılmalıdır.
window.crypto.random()
crypto.getRandomValues()