Eine Zufallszahl ist ein Wert, der durch einen unvorhersehbaren Prozess erzeugt wird – entweder aus etwas Physischem wie Würfeln oder thermischem Rauschen oder aus einem Computer-Algorithmus, der Zufälligkeit nachahmt. Der große Unterschied zwischen echten Zufallszahlengeneratoren (TRNGs) und Pseudozufallszahlengeneratoren (PRNGs) entscheidet darüber, ob Ihre App wirklich sicher ist oder nur zufällig wirkt. Ob Sie eine schnelle Ziehung für eine Verlosung oder einen kryptografisch sicheren Schlüssel benötigen – ein zuverlässiger Zufallszahlengenerator macht den entscheidenden Unterschied. Dieser Leitfaden behandaltet die Grundlagen, die realen Risiken bei Fehlern und die Auswahl des richtigen Generators für Ihre Anforderungen im Jahr 2026.
Was genau ist eine Zufallszahl? (Und warum ist das wichtig?)
Eine Zufallszahl wird nicht durch ihren eigentlichen Wert definiert – sondern durch die Unvorhersehbarkeit der Quelle. Wenn Sie einen Würfel werfen, ist das Ergebnis zufällig, weil der physikalische Prozess – der fallende Würfel, das Aufschlagen auf der Unterlage, der Luftwiderstand – zu komplex ist, um ihn exakt zu modellieren. In der Informatik wird Zufälligkeit durch Entropie gemessen, einen Begriff aus der Informationstheorie, der Unvorhersehbarkeit quantifiziert. Je mehr Entropie eine Quelle hat, desto schwerer ist es, die nächste Zahl zu erraten.
Die alltägliche Vorstellung von Zufälligkeit weicht häufig von der rechnerischen ab. Eine Folge wie „1 2 3 4 5“ wirkt für Menschen nicht zufällig, doch wie der Wikipedia-Artikel über Zufallszahlen anmerkt: „Wir können nicht mit Bestimmtheit sagen, dass die erste Folge nicht zufällig ist … sie hätte auch durch Zufall erzeugt worden sein können.“ Die entscheidende Eigenschaft ist, dass jede Zahl in der Folge unabhängig von den anderen ist und nicht aus früheren Ausgaben vorhergesagt werden kann.
Es gibt zwei große Klassen von Generatoren:
– Echte Zufallszahlengeneratoren (TRNGs) – auch Hardware-Zufallszahlengeneratoren (HRNGs) genannt – entnehmen Zahlen physikalischen Phänomenen, die von Natur aus unvorhersehbar sind.
– Pseudozufallszahlengeneratoren (PRNGs) – verwenden deterministische mathematische Algorithmen. Sie wirken zufällig, sind aber vollständig reproduzierbar, wenn der Anfangszustand (der Seed) bekannt ist.
Diese Unterscheidung zu verstehen, ist der erste Schritt, um Ihre Anwendungen abzusichern. Für einen breiteren Überblick über verschiedene Arten von Randomisierungstools – auch solche, die über Zahlen hinausgehen – werfen Sie einen Blick auf unseren umfassenden Leitfaden zum Number Random Generator.
Das Kernproblem: Warum Computer nicht „wirklich“ zufällig sein können
Ein Computer ist eine deterministische Maschine. Jede Anweisung folgt einer festen Reihenfolge. Um eine Zufallszahl zu erzeugen, muss er sich auf eine externe Entropiequelle oder einen Algorithmus verlassen, der Zufälligkeit simuliert. Wie der Mathematiker John von Neumann 1951 berühmt sagte: „Wer arithmetische Methoden zur Erzeugung zufälliger Ziffern in Betracht zieht, befindet sich natürlich im Zustand der Sünde.“
Dieses Zitat, erhalten im Wikipedia-Artikel über Zufallszahlengenerierung, bringt eine grundlegende Wahrheit auf den Punkt: Arithmetische (algorithmische) Methoden können niemals wirklich unvorhersehbare Zahlen erzeugen. Sie können nur Folgen erzeugen, die für statistische Tests zufällig wirken. Der einzige Weg, echte Unvorhersehbarkeit zu erreichen, besteht darin, Entropie aus der physischen Welt zu gewinnen – thermisches Rauschen in einem Widerstand, atmosphärisches Rauschen, radioaktiver Zerfall oder sogar die chaotischen Muster in Lavalampe.
Echter Zufallszahlengenerator (TRNG) vs. Pseudozufallszahlengenerator (PRNG): Die entscheidende Unterscheidung
Der Kernunterschied lässt sich auf die Quelle der Unvorhersehbarkeit zurückführen:
| Feature | TRNG (True RNG) | PRNG (Pseudorandom RNG) |
|---|---|---|
| Quelle | Physische Entropie (thermisches Rauschen, Quanteneffekte usw.) | Mathematischer Algorithmus |
| Deterministisch? | Nein – jede Ausgabe hängt von einem physikalischen Prozess ab | Ja – derselbe Seed erzeugt immer dieselbe Folge |
| Reproduzierbar? | Nein | Ja (wenn Seed bekannt ist) |
| Geschwindigkeit | Meist langsamer, durch Entropieernte begrenzt | Sehr schnell |
| Blockierend? | Kann blockieren, wenn der Entropiepool erschöpft ist | Nicht blockierend |
| Anwendungsfall | Kryptografie, Sicherheitsschlüssel, Lotterien | Simulationen, Spiele, nicht sicherheitsrelevante Anwendungen |
TRNGs messen ein physikalisches Phänomen direkt. Gängige Quellen sind thermisches Rauschen in Widerständen, Jitter in elektronischen Schaltkreisen, Schrotrauschen in Halbleitern und Quantenphänomene wie der photoelektrische Effekt. Ein praktischer TRNG umfasst üblicherweise eine Rauschquelle, einen Digitalisierer, einen Conditioner (Randomness Extractor) zur Qualitätsverbesserung sowie Gesundheitstests, die sicherstellen, dass die Quelle noch funktioniert.
PRNGs starten mit einem Anfangswert, dem sogenannten Random Seed (oft aus einem TRNG bezogen), und wenden dann wiederholt eine mathematische Transformation an, um die nächste Zahl zu erzeugen. Die Folge ist deterministisch: Wer den Seed kennt, kann exakt dieselben Zahlen reproduzieren. Diese Reproduzierbarkeit ist großartig zum Debuggen von Simulationen, aber katastrophal für die Sicherheit, wenn ein Angreifer den Seed herausfinden oder erraten kann.
Eine dritte Kategorie, Cryptographically Secure Pseudorandom Number Generators (CSPRNGs), verbindet das Beste aus beiden Welten: Sie nutzen einen TRNG, um einen hoch-entropy Seed zu erhalten, und verwenden dann einen sorgfältig entworfenen Algorithmus, um einen unbegrenzten Strom von Zahlen zu erzeugen, der von echtem Zufall rechnerisch nicht zu unterscheiden ist. Standard-Kryptografie-Designs verwenden diesen hybriden Ansatz, wie im Wikipedia-Artikel beschrieben.
Wie TRNGs echte Unvorhersehbarkeit erzeugen
Echte RNGs fangen Zufälligkeit aus der physischen Umgebung ein. Ein berühmtes Beispiel nutzt Cloudflare: eine Wand aus Lavalampen in ihrem Büro in San Francisco. Wie ein Cloudflare-Blogpost (2017) erklärt, werden die ständig wechselnden, unvorhersehbaren Muster der Lavalampen fotografiert und gehasht, um hoch-entropy Zufallszahlen zu erzeugen. Während Lavalampen ein neuartiger Ansatz sind, nutzen die meisten TRNGs kompaktere Quellen wie das thermische Rauschen einer sperrvorgespannten Diode.
Ein weiteres kürzliches Hobbyprojekt, der Neon Entropy Random Number Generator von Joshua Coleman (Mai 2026), verwendet drei Vintage-Neonlampen. Die Entladungsrate einer bestromten Neonlampe variiert unvorhersehbar, und optische Sensoren erfassen diese Schwankung. Ein Raspberry Pi Pico W liest die analogen Signale und erzeugt SHA-256 64-Bit-Werte, die als Random Seeds verwendet werden können. Der Ersteller räumt ein, das System sei „schlecht charakterisiert“ und müsse validiert werden, doch es veranschaulicht das Prinzip, Entropie aus physikalischen Prozessen zu extrahieren.
Warum PRNGs das Arbeitspferd der Informatik sind
PRNGs sind überall, weil sie schnell, reproduzierbar und leicht zu implementieren sind. Der Wikipedia-Artikel merkt an, dass sie „zentral in Anwendungen wie Simulationen (z. B. für die Monte-Carlo-Methode), elektronischen Spielen (z. B. für prozedurale Generierung) und der Kryptografie“ sind. In der Simulation ist die Möglichkeit, dieselbe Zufallsfolge durch denselben Start-Seed erneut ablaufen zu lassen, entscheidend für das Debugging. In der Kryptografie kann ein PRNG sicher sein – solange der Seed geheim gehalten wird.
Der am weitesten verbreitete Allzweck-PRNG ist der Mersenne Twister (MT19937), bekannt für seine hervorragenden statistischen Eigenschaften und lange Periode (2^19937 − 1). Viele Programmiersprachen (Python, Ruby, PHP) nutzen den Mersenne Twister als Standard-Zufallszahlengenerator für nicht-kryptografische Zwecke. Aber der Mersenne Twister ist nicht kryptografisch sicher – ein Angreifer kann seinen internen Zustand nach etwa 624 aufeinanderfolgenden Ausgaben rekonstruieren. Für alles Sicherheitsrelevante benötigen Sie einen CSPRNG. Wenn Sie mit bestimmten Sprachen entwickeln, führen Sie Tools wie der Python-Zufallszahlengenerator, der Java-Zufallszahlengenerator und der C++-Zufallszahlengenerator durch den jeweils richtigen Ansatz für jede Plattform.
Reale Konsequenzen: Wenn Zufallszahlen versagen (Der Lotto-Manipulationsfall)
Die Folgen eines schwachen Zufallszahlengenerators können katastrophal sein. Das dramatischste Beispiel ist der US-Lotto-Manipulationsfall, der im Wikipedia-Artikel beschrieben wird. Der Informationssicherheitsdirektor der Multi-State Lottery Association (MUSL) installierte heimlich Backdoor-Malware auf dem sicheren RNG-Computer während einer routinemäßigen Wartung. Über mehrere Jahre hinweg gewann er durch Vorhersage der Lottozahlen insgesamt 16,5 Millionen Dollar. Dieser Angriff funktionierte, weil der RNG durch die Backdoor faktisch vorhersagbar war – ein klassisches Versagen, das auf einem kompromittierten oder schwachen Generator beruht.
Auch ohne böswillige Backdoors können fehlerhafte Zufälligkeit weitreichende Schäden verursachen. Der Wikipedia-Artikel über Zufallszahlen zitiert einen Vorfall aus dem Jahr 2012, bei dem eine 99,8%ige (nicht vollständige 100%) Zufälligkeitsschwäche in einer Online-Verschlüsselungsmethode schätzungsweise 27.000 Kunden eines großen Dienstes negativ betraf. Solche Fehler zeigen, dass selbst kleine Abweichungen von echter Zufälligkeit gravierende Folgen haben können.
Ein weiterer prominenter Fall ist die Dual EC DRBG-Backdoor. Dieser NIST-zertifizierte kryptografisch sichere Pseudozufallszahlengenerator stand im Verdacht, eine von der NSA eingefügte Backdoor zu enthalten, die es ihr (wenn die Theorie stimmt) ermöglichen würde, den internen Zustand zu bestimmen und Verschlüsselung zu brechen, die darauf beruhte. Wie im Wikipedia-Artikel angemerkt, obwohl Dual EC DRBG „ein sehr schlechter und möglicherweise hintertüriger Pseudozufallszahlengenerator“ war, „lange bevor die NSA-Backdoor 2013 bestätigt wurde“, hatte er „in der Praxis erhebliche Nutzung erfahren“ – unter anderem vom Sicherheitsunternehmen RSA Security.
Auf eine leichtere Note: Die Beliebtheit von Online-Zufallszahlen-Tools zeigt, wie sehr Menschen auf sie angewiesen sind. Laut Wheel of Names hatte die Seite Stand 2026 462.479.318 Drehrad-Umdrehungen und über 1,28 Millionen Stunden Drehens verzeichnet. Die Seite verwendet eine kryptografisch sichere Funktion (crypto.getRandomValues()), um echte Unvorhersehbarkeit für ihre Nutzer zu gewährleisten, von denen viele Verlosungen, Klassenauswahlen und Streaming-Gewinnspiele durchführen. Dieses Nutzungsvolumen zeigt: Wenn ein Zufallszahlengenerator versagt, sind Millionen betroffen.
So wählen Sie den richtigen Zufallszahlengenerator für Ihren Anwendungsfall 2026
Die Wahl des richtigen Zufallszahlengenerators hängt von den Anforderungen Ihrer Anwendung an Sicherheit, Geschwindigkeit und Reproduzierbarkeit ab. Nutzen Sie diesen Entscheidungsrahmen:
Für Kryptografie: Der zwingende Einsatz von CSPRNGs
Wenn Ihre Anwendung Verschlüsselungsschlüssel, Authentifizierungs-Token, Session-IDs oder andere sicherheitsrelevante Daten verarbeitet, müssen Sie einen Cryptographically Secure Pseudorandom Number Generator (CSPRNG) verwenden. Verwenden Sie niemals Math.random(), random.randint() oder den Mersenne Twister für diese Zwecke. Die Konsequenzen von Vorhersehbarkeit – finanzieller Diebstahl, Datenlecks, Account-Übernahme – sind zu ernst.
Empfohlene Tools:
– Webbrowser: Verwenden Sie die Web Crypto API (crypto.getRandomValues()). Das ist auch, was Wheel of Names nutzt, um Zufälligkeit zu garantieren.
– Unix/Linux-Systeme: Lesen Sie aus /dev/urandom. Es bietet einen nicht-blockierenden CSPRNG, der mit Hardware-Entropie gesät wird. (Hinweis: /dev/random blockiert, bis genügend Entropie verfügbar ist, und wird für Bulk-Lesezugriffe nicht empfohlen.)
– Windows: Verwenden Sie CryptGenRandom() oder RNGCryptoServiceProvider.
– Intel-Prozessoren: Die RDRAND-Anweisung liefert Zufallszahlen aus einem On-Chip-Hardware-Generator, aber viele sicherheitsbewusste Systeme mischen seine Ausgabe mit anderen Entropiequellen, um sich gegen mögliche Backdoors zu schützen.
Für Simulationen & Spiele: Die Geschwindigkeit von PRNGs (wie Mersenne Twister)
Für Monte-Carlo-Simulationen, wissenschaftliches Rechnen, Videospiele und prozedurale Inhaltsgenerierung sind Geschwindigkeit und statistische Qualität wichtiger als kryptografische Sicherheit. Hier funktioniert ein schneller PRNG wie der Mersenne Twister (MT19937) oder die neuere PCG-Familie gut. Diese Generatoren erzeugen Milliarden Zahlen pro Sekunde und bestehen die meisten statistischen Tests.
- Reproduzierbarkeit ist ein zentraler Vorteil: Der gleiche Seed liefert dieselbe Folge – entscheidend für Debugging und die Wiederholbarkeit von Experimenten.
- Achtung: Verwenden Sie diese nicht für etwas, das mit Geld, Identität oder Zugriffssteuerung zu tun hat.
Für Lotterien & Fairness: Die Notwendigkeit hardwarebasierter Entropie
Lotterien, Gewinnspiele, Preisverlosungen und alle Systeme, bei denen Fairness rechtlich oder ethisch gefordert ist, müssen hardwarebasierte Entropie (TRNG) oder zumindest einen gut entworfenen, mit physischer Entropie gesäten CSPRNG verwenden. Der Lotto-Manipulationsfall zeigt, dass selbst ein „sicherer“ RNG kompromittiert werden kann, wenn der Seed oder die Software manipuliert wird. Physische Zufälligkeit aus atmosphärischem Rauschen (wie Random.org), quantenbasierte Zufallszahlengeneratoren oder dedizierte Hardware-Module bieten die stärkste Garantie für Unvorhersehbarkeit.
Für alltägliche Aufgaben wie das Erzeugen einer zufälligen Telefonnummer für Tests bietet ein Zufalls-Telefonnummern-Generator schnelle, zuverlässige Ergebnisse ohne die Komplexität kryptografischer Hardware.
Für kritische Anwendungen:
– Physische Quellen: Verwenden Sie einen dedizierten HRNG (z. B. basierend auf thermischem Rauschen oder Quanten-Photonenemission).
– Hybrider Ansatz: Kombinieren Sie Hardware-Entropie mit einem CSPRNG für Geschwindigkeit.
– Auditing: Testen Sie die Ausgabe regelmäßig auf Gleichverteilung und Unabhängigkeit (siehe Abschnitt 6).
Das Neueste zur Zufälligkeit: Modernste Forschung und Tools (2026-Update)
Während der grundlegende TRNG/PRNG-Unterschied gut etabliert ist, erweitert aktuelle Forschung die Grenzen von Geschwindigkeit, Effizienz und Anpassungsfähigkeit. Eine bemerkenswerte Studie aus dem Jahr 2026, veröffentlicht in Scientific Reports, stellt DMARS_WGO (Dual-Mode Adaptive Reinforced Switching Walrus-Gazelle Optimizer) vor, einen hybriden metaheuristischen Algorithmus, der verstärkendes Lernen nutzt, um Exploration und Ausbeutung dynamisch auszubalancieren.
Laut dem Paper DMARS_WGO: a deep reinforcement-driven hybrid metaheuristic for intelligent adaptive optimization erreichte der Algorithmus auf der CEC2017-Suite den ersten Rang in 26 von 29 Benchmark-Funktionen und auf CEC2022 den ersten Rang in 8 von 12 Funktionen. Während DMARS_WGO in erster Linie ein Optimierungsalgorithmus ist (kein Allzweck-RNG), zeigt er, wie maschinelles Lernen die Qualität zufälliger Suchprozesse verbessern kann – ein direkter Nutzen besserer Zufälligkeit in Simulationen.
Für alltägliche Entwickler ist die wichtigste Best Practice im Jahr 2026, sich auf CSPRNGs auf Betriebssystemebene zu verlassen. Intels RDRAND-Anweisung, in modernen CPUs verfügbar, stellt einen hardwarebasierten Zufallszahlengenerator bereit, der direkt per Code ansprechbar ist. Der /dev/urandom-Zugang des Linux-Kernels nutzt mittlerweile einen ChaCha20-basierten CSPRNG, der sowohl schnell als auch sicher ist. Die Web Crypto API (crypto.getRandomValues()) ist zum Standard für clientseitige JavaScript-Sicherheit geworden.
Wie moderne CPUs Zufallszahlen erzeugen (RDRAND & darüber hinaus)
Moderne Prozessoren von Intel und AMD enthalten einen eingebauten Hardware-Zufallszahlengenerator (HRNG), auf den über die RDRAND-Anweisung zugegriffen wird. Dieser Generator nutzt On-Chip-Entropiequellen – wie thermisches Rauschen in Metalloxid-Halbleiter-Transistoren (MOS) – um zufällige Bits zu erzeugen. Er kann Tausende Zufallszahlen pro Sekunde liefern.
Da Hardware jedoch theoretisch manipuliert werden kann (wie der Dual EC DRBG-Fall zeigt), verwenden viele sicherheitskritische Anwendungen RDRAND nicht allein. Der Wikipedia-Artikel merkt an, dass „es für die Zufallszahlengenerierung in Linux als inakzeptabel gilt, Intels RDRAND-Hardware-RNG zu verwenden, ohne die RDRAND-Ausgabe mit anderen Entropiequellen zu mischen.“ Diese Praxis, sogenanntes „Whitening“, kombiniert mehrere unabhängige Quellen, um das Risiko einer versteckten Backdoor zu verringern.
So testen Sie die „Zufälligkeit“ Ihrer Zahlen
Selbst wenn Sie einen gut entworfenen RNG verwenden, sollten Sie prüfen, ob seine Ausgabe die erwarteten statistischen Eigenschaften zeigt. Die beiden wichtigsten Prüfungen sind Gleichwahrscheinlichkeit (jeder Wert kommt etwa gleich häufig vor) und Unabhängigkeit (keine vorhersagbaren Muster zwischen aufeinanderfolgenden Werten).
Laut der PsychicScience.org-Seite zum Zufallszahlengenerator können Sie die Math.random()-Methode Ihres Browsers testen, indem Sie 100.000 Zahlen einer offenen Folge innerhalb eines gewählten Bereichs erzeugen. Die Seite merkt an, dass „die Zufälligkeitsprüfungen zufällig etwa 1-mal in 10 Fällen nicht-zufällige Folgen anzeigen“ – eine 10%ige False-Positive-Rate ist normal.
Der Chi-Quadrat-Test einfach erklärt
Der häufigste statistische Test auf Zufälligkeit ist der Chi-Quadrat-Anpassungstest (χ² Goodness-of-Fit). So funktioniert er in der Praxis:
- Erzeugen Sie eine Folge von N Zahlen aus Ihrem RNG (z. B. 1.000 ganze Zahlen zwischen 1 und 6).
- Zählen Sie, wie oft jeder Wert vorkommt.
- Vergleichen Sie diese beobachteten Anzahlen mit den erwarteten Anzahlen (bei Gleichverteilung sollte jeder Wert N/6-mal vorkommen).
- Berechnen Sie die Chi-Quadrat-Statistik: Summe über alle Kategorien ((Beobachtet − Erwartet)² / Erwartet).
- Interpretieren Sie: Liegt die Wahrscheinlichkeit, die mit diesem Chi-Quadrat-Wert verbunden ist, über 0,10 (der typische Schwellenwert), gibt es keinen Hinweis auf eine signifikante Abweichung von Zufälligkeit.
Ein zweiter Test auf paarweise Unabhängigkeit prüft, ob die Häufigkeit jedes möglichen Paars aufeinanderfolgender Zahlen gleich wahrscheinlich ist. Beim Würfeln etwa sollten die Paare (1,1), (1,2), …, (6,6) jeweils mit ähnlicher Häufigkeit vorkommen. Ein Chi-Quadrat-Kontingenztafel-Test kann Verzerrungen erkennen, etwa eine Tendenz zum Wechsel zwischen hohen und niedrigen Werten.
Viele Online-Tools, darunter das bei PsychicScience.org, bieten eingebaute Chi-Quadrat-Prüfungen. Für ernsthafte Validierung stellt die NIST Statistical Test Suite (STS) 15 verschiedene Tests bereit, darunter Frequency-, Runs- und Block-Frequency-Tests.
Fazit
Den Unterschied zwischen TRNGs und PRNGs zu verstehen, ist der erste Schritt, um Ihre Anwendungen abzusichern und fundierte Entscheidungen zu treffen. Ein TRNG erntet physische Entropie; ein PRNG nutzt einen deterministischen Algorithmus und einen Seed; ein CSPRNG kombiniert beides für Sicherheit. Die realen Konsequenzen der falschen Wahl können finanzieller Verlust, rechtliche Haftung und Reputationsschäden sein – wie der 16,5-Millionen-Dollar-Lotto-Manipulationsfall zeigt.
Konkrete Empfehlung: Beginnen Sie noch heute, Ihre Codebasis zu auditieren, um sicherzustellen, dass Math.random() in keinem sicherheitsrelevanten, Authentifizierungs- oder Token-Generierungs-Kontext verwendet wird. Migrieren Sie für alle sensiblen Operationen zu CSPRNGs. Für Simulationen und Spiele ist ein schneller PRNG wie der Mersenne Twister in Ordnung, aber seien Sie sich der Reproduzierbarkeitsanforderung stets bewusst. Und wenn Sie eine Lotterie, eine Ziehung oder ein anderes Fairness-kritisches System betreiben, investieren Sie in einen dedizierten Hardware-RNG oder einen gut validierten CSPRNG mit prüfbaren Entropiequellen. Mit den Worten der DMARS_WGO-Studie von 2026 ist die Fähigkeit, „intelligent ihre Suchdynamik selbst anzupassen“, das A und O – doch für die meisten Entwickler ist einfach die Wahl des richtigen vorhandenen Tools der wirkungsvollste Schritt.
FAQ
Was ist der Unterschied zwischen einem echten Zufallszahlengenerator (TRNG) und einem Pseudozufallszahlengenerator (PRNG)?
Ein TRNG nutzt physikalische Prozesse (thermisches Rauschen, Quanteneffekte, Lavalampe), um Zahlen zu erzeugen, die von Natur aus unvorhersehbar sind. Ein PRNG verwendet einen mathematischen Algorithmus und einen Start-Seed; die Ausgabe wirkt zufällig, ist aber vollständig deterministisch. Für Sicherheit wird ein TRNG oder ein CSPRNG benötigt.
Sind die von Websites erzeugten Zufallszahlen wirklich zufällig?
Die meisten Websites verwenden PRNGs, die deterministisch, aber statistisch zufällig sind. Seriöse Sites für Kryptografie oder Lotterien nutzen hardwarebasierte Entropie oder CSPRNGs (z. B. die Web Crypto API). Für nicht-sicherheitsrelevante Anwendungen wie Namens-Auswahlen reicht ein einfacher PRNG meist aus.
Wie kann ich kryptografisch sichere Zufallszahlen erzeugen?
Verwenden Sie dedizierte APIs wie die Web Crypto API (crypto.getRandomValues()) in Browsern. Auf Unix/Linux-Systemen lesen Sie aus /dev/urandom. Verwenden Sie Math.random() niemals für Sicherheitszwecke. Für Massengenerierung sind moderne CSPRNGs wie ChaCha20 schnell und sicher.
Schreibe einen Kommentar