Почему не рекомендуют использовать Math.random?

Почему не рекомендуют использовать Math.random

Хотя вопрос про JavaScript, а мы говорим про Python, концепция одна и та же. В Python аналог Math.random() — это random.random(), и он имеет аналогичные проблемы. Давайте разберем, почему встроенные генераторы случайных чисел недостаточны для многих задач.

1. Недостаточно защищенный алгоритм

Math.random() и random.random() используют генератор Mersenne Twister — алгоритм, спроектированный для вычислительного моделирования, но не для криптографии.

import random

# Небезопасно для криптографии
token = random.random()
print(token)  # 0.8444218515250481

Этот алгоритм предсказуем: если злоумышленник знает несколько выходных значений, он может предсказать остальные. Это смертельно для:

• Генерации токенов аутентификации
• Создания session ID
• Генерации уникальных кодов
• Любых приложений безопасности

2. Проблемы качества случайности

Периодичность random.random() имеет период ~2^19937-1. Это велико, но конечно. Для серьезных приложений нужны источники истинной случайности.

Корреляция между последовательными значениями

import random

values = [random.random() for _ in range(1000)]

# На графике видна слабая корреляция между соседними значениями
# Это плохо для статистических моделей

Неравномерное распределение в некоторых диапазонах Для генерации чисел в диапазонах часто используют операции, которые искажают распределение.

3. Воспроизводимость при одинаковом seed

import random

random.seed(42)
print([random.random() for _ in range(3)])
# [0.6394267984578837, 0.025891755975068582, 0.27502931836911926]

random.seed(42)  # Одинаковый seed
print([random.random() for _ in range(3)])
# [0.6394267984578837, 0.025891755975068582, 0.27502931836911926]

Хотя это полезно для тестирования, для криптографии это опасно. Если seed можно угадать или украсть, вся "случайность" скомпрометирована.

4. Плохая производительность для параллельных вычислений

random.random() использует глобальное состояние (state), что вызывает проблемы в многопоточной среде:

import random
import threading

def generate_random():
    # Может быть race condition
    r = random.random()
    return r

# Несколько потоков будут конкурировать за доступ к state

Для параллельных вычислений нужны независимые генераторы в каждом потоке.

5. Слишком много методов, без ясной семантики

random.random()      # float [0.0, 1.0)
random.randint(1, 6) # int [1, 6]
random.choice(list)  # элемент из списка
random.shuffle(list) # перемешивает список

Для обычных задач это нормально, но семантика не ясна в криптографических контекстах.

Что использовать вместо random?

Для криптографии: secrets

import secrets

# Генерация криптографически стойкого токена
token = secrets.token_hex(32)
print(token)  # a1b2c3d4...

# Генерация случайного числа для приложений безопасности
random_int = secrets.randbelow(1000)

# Выбор из списка
choice = secrets.choice([option1, option2, option3])

Плюсы: использует OS random source (urandom на Unix), криптографически стоек, безопасен по умолчанию.

Для статистики: numpy.random

import numpy as np

# Лучшие генераторы для научных расчетов
rng = np.random.Generator(np.random.PCG64())
values = rng.normal(0, 1, 10000)  # Нормальное распределение

Для воспроизводимости в тестах

import random
from unittest.mock import patch

# Используй seed только в тестах
with patch(random.seed, return_value=42):
    # тест с фиксированной последовательностью
    pass

Правила использования

1. Криптография, токены, пароли: secrets модуль
2. Научные расчеты, статистика: numpy.random или scipy.stats
3. Игры, симуляции: random модуль в порядке
4. Воспроизводимость: явный seed с документацией
5. Параллельные вычисления: независимые генераторы на каждый поток

Заключение

Math.random() (и random.random()) — это генератор общего назначения, а не криптографический инструмент. Для приложений, где безопасность важна, нужно использовать secrets или специализированные библиотеки. Выбор генератора зависит от требований: скорость, распределение, криптографическая стойкость, воспроизводимость.