<p dir="ltr">Jerry,</p>
<p dir="ltr">Le 20 août 2014 12:23, "Jerry Leichter" <<a href="mailto:leichter@lrw.com">leichter@lrw.com</a>> a écrit :<br>
> This is a rather weak argument.  You're contrasting a CSPRNG - something that's quite difficult to build correctly, as we've seen from many discussions on this list - with something as simple as "remember the last one and add one to get the next".  We've had predictable "CSPRNG's" in the past.<br>

><br>
> If all you need for a salt is a value that won't be re-used, getting software that guarantees that won't happen is a very minor problem.  Arguing for CSPRNG's *on the basis that solving that problem is a likely source of weakness*, when there are *so* many much more complex things to get right, makes no sense to me.<br>

></p>
<p dir="ltr">As I said, the target audience is web application developpers. These do not write CSPRNG's. Yet many of them write authentication code using a crypto toolkit.</p>
<p dir="ltr">Does this make sense now?</p>
<p dir="ltr">Erwan<br>
</p>