<div dir="ltr">Replacing `pwgen` shouldn't be a big deal. The only Pass command that uses it is `generate` and the only options passed to are whether to include symbols and the length of the password.<div><br></div><div>Incidentally, I cobbled together a handy way of generating arbitrary passwords of any length using only specific special characters. It should work on most any Unix or Unix-like system. Here's an example for generating a password of 32 characters with only a limited set of special characters:</div><div><br></div><div>```</div><div>head /dev/urandom | tr -dc 'A-Za-z0-9!@#$%^&*()' | head -c 32 && echo<br></div><div>```</div><div><br></div><div>Here's an example with all of the OWASP special characters, which would be a good default if no set of { symbols / special characters } are specified:</div><div><br></div><div>```</div><div>head /dev/urandom | tr -dc 'A-Za-z0-9!"#$%&'\''()*+,-./:;<=>?@[\]^_`{|}~' | head -c 32 && echo<br></div><div>```</div><div><br></div><div>`pwgen` by default "generates passwords which are designed to be easily memorized by humans, while being as secure as possible". Pass hard-codes the call to `pwgen` to use the 'secure' option which will "generate completely random, hard-to-memorize passwords", so just reading from */dev/urandom* is probably just as good (and likely pretty similar to whatever `pwgen` is doing when the secure option is specified).</div><div><br></div><div>Below is a patch with changes that replace `pwgen` with my above commands.</div><div><br></div><div>Both `apg` and `mkpasswd` have some nice options for ensuring that passwords definitely contain certain types of characters, which is particularly useful for passwords that need to meet certain requirements, e.g. always include a special character.</div><div><br></div><div>But perhaps, instead of Pass depending directly on any particular password generator, it simply call another specified program to do so. If some passwords didn't (annoyingly) necessitate *excluding* certain special characters `pwgen` should be more than good enough. But given that generating arbitrary passwords for all of the possible sets of valid passwords is (annoyingly) difficult, perhaps Pass shouldn't bother to try to implement that itself beyond its current okay-ish default dependency on `pwgen`.</div><div><br></div><div><br></div><div><br></div><div>```</div><div><div>diff --git a/src/password-store.sh b/src/password-store.sh</div><div>index 63be840..10463cb 100755</div><div>--- a/src/password-store.sh</div><div>+++ b/src/password-store.sh</div><div>@@ -16,6 +16,7 @@ PREFIX="${PASSWORD_STORE_DIR:-$HOME/.password-store}"</div><div> X_SELECTION="${PASSWORD_STORE_X_SELECTION:-clipboard}"</div><div> CLIP_TIME="${PASSWORD_STORE_CLIP_TIME:-45}"</div><div> GENERATED_LENGTH="${PASSWORD_STORE_GENERATED_LENGTH:-25}"</div><div>+DEFAULT_SYMBOLS="${PASSWORD_STORE_DEFAULT_SYMBOLS:-\!\"#\$%&\'()*+,-./:;<=>?@[\]^_\`{|\}~}"</div><div><br></div><div> export GIT_DIR="${PASSWORD_STORE_GIT:-$PREFIX}/.git"</div><div> export GIT_WORK_TREE="${PASSWORD_STORE_GIT:-$PREFIX}"</div><div>@@ -235,8 +236,8 @@ cmd_usage() {</div><div>                overwriting existing password unless forced.</div><div>            $PROGRAM edit pass-name</div><div>                Insert a new password or edit an existing password using ${EDITOR:-vi}.</div><div>-           $PROGRAM generate [--no-symbols,-n] [--clip,-c] [--in-place,-i | --force,-f] pass-name [pass-length]</div><div>-               Generate a new password of pass-length (or $GENERATED_LENGTH if unspecified) with optionally no symbols.</div><div>+           $PROGRAM generate [--clip,-c] [--in-place,-i | --force,-f] pass-name [pass-length] [symbols]</div><div>+               Generate a new password of pass-length (or $GENERATED_LENGTH if unspecified) with optional set of symbols to use (or $DEFAULT_SYMBOLS if unspecified).</div><div>                Optionally put it on the clipboard and clear board after $CLIP_TIME seconds.</div><div>                Prompt before overwriting existing password unless forced.</div><div>                Optionally replace only the first line of an existing file with a new password.</div><div>@@ -431,21 +432,21 @@ cmd_edit() {</div><div> }</div><div><br></div><div> cmd_generate() {</div><div>-       local opts clip=0 force=0 symbols="-y" inplace=0</div><div>-       opts="$($GETOPT -o ncif -l no-symbols,clip,in-place,force -n "$PROGRAM" -- "$@")"</div><div>+       local opts clip=0 force=0 inplace=0</div><div>+       opts="$($GETOPT -o cif -l clip,in-place,force -n "$PROGRAM" -- "$@")"</div><div>        local err=$?</div><div>        eval set -- "$opts"</div><div>        while true; do case $1 in</div><div>-               -n|--no-symbols) symbols=""; shift ;;</div><div>                -c|--clip) clip=1; shift ;;</div><div>                -f|--force) force=1; shift ;;</div><div>                -i|--in-place) inplace=1; shift ;;</div><div>                --) shift; break ;;</div><div>        esac done</div><div><br></div><div>-       [[ $err -ne 0 || ( $# -ne 2 && $# -ne 1 ) || ( $force -eq 1 && $inplace -eq 1 ) ]] && die "Usage: $PROGRAM $COMMAND [--no-symbols,-n] [--clip,-c] [--in-place,-i | --force,-f] pass-name [pass-length]"</div><div>+       [[ $err -ne 0 || ( $# -ne 3 && $# -ne 2 && $# -ne 1 ) || ( $force -eq 1 && $inplace -eq 1 ) ]] && die "Usage: $PROGRAM $COMMAND [--clip,-c] [--in-place,-i | --force,-f] pass-name [pass-length] [symbols]"</div><div>        local path="$1"</div><div>        local length="${2:-$GENERATED_LENGTH}"</div><div>+       local symbols="${3:-$DEFAULT_SYMBOLS}"</div><div>        check_sneaky_paths "$path"</div><div>        [[ ! $length =~ ^[0-9]+$ ]] && die "Error: pass-length \"$length\" must be a number."</div><div>        mkdir -p -v "$PREFIX/$(dirname "$path")"</div><div>@@ -454,7 +455,7 @@ cmd_generate() {</div><div><br></div><div>        [[ $inplace -eq 0 && $force -eq 0 && -e $passfile ]] && yesno "An entry already exists for $path. Overwrite it?"</div><div><br></div><div>-       local pass="$(pwgen -s $symbols $length 1)"</div><div>+       local pass="$(head /dev/urandom | tr -dc "A-Za-z0-9$symbols" | head -c "$length" && echo)"</div><div>        [[ -n $pass ]] || exit 1</div><div>        if [[ $inplace -eq 0 ]]; then</div><div>                $GPG -e "${GPG_RECIPIENT_ARGS[@]}" -o "$passfile" "${GPG_OPTS[@]}" <<<"$pass" || die "Password encryption aborted."</div></div><div>```</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Nov 8, 2016 at 5:23 PM, Diego Depaoli <span dir="ltr"><<a href="mailto:trebestie@gmail.com" target="_blank">trebestie@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr" class="m_-2492182617681352069gmail_msg">I agree.<br class="m_-2492182617681352069gmail_msg">
This is not a big issue, but sometimes limited pwgen features are annoying.<br class="m_-2492182617681352069gmail_msg">Could apg or makepassword bè reliable replacements?<br></div><div dir="ltr" class="m_-2492182617681352069gmail_msg"><br></div><div dir="ltr" class="m_-2492182617681352069gmail_msg">My best regards</div><div><div class="h5"><div dir="ltr" class="m_-2492182617681352069gmail_msg"><br></div><div dir="ltr" class="m_-2492182617681352069gmail_msg"><span style="font-size:13px">Il mar 8 nov 2016 20:55 Michael Hoff <</span><a href="mailto:mail@michael-hoff.net" class="m_-2492182617681352069gmail_msg" style="font-size:13px" target="_blank">mail@michael-hoff.net</a><span style="font-size:13px">> ha scritto:</span></div></div></div><div class="gmail_quote m_-2492182617681352069gmail_msg"><blockquote class="gmail_quote m_-2492182617681352069gmail_msg" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div class="h5">
  

    
  
  <div bgcolor="#FFFFFF" text="#000000" class="m_-2492182617681352069gmail_msg">
    Hello,<br class="m_-2492182617681352069gmail_msg">
    <br class="m_-2492182617681352069gmail_msg">
    first of all: Really nice project!<br class="m_-2492182617681352069gmail_msg">
    <br class="m_-2492182617681352069gmail_msg">
    I very often encounter the problem that services do not allow all
    symbols used by pass/pwgen.<br class="m_-2492182617681352069gmail_msg">
    "Your password has to contain at least one of the following symbols
    '*#_!'" (e.g. '<' is forbidden)<br class="m_-2492182617681352069gmail_msg">
    <br class="m_-2492182617681352069gmail_msg">
    This does hinder my work-flow as I have to manually adapt the
    password to match the criteria.<br class="m_-2492182617681352069gmail_msg">
    <br class="m_-2492182617681352069gmail_msg">
    Straight-forward solution to this problem would be to provide the
    symbol set via optional command line argument to the generate
    command.<br class="m_-2492182617681352069gmail_msg">
    <br class="m_-2492182617681352069gmail_msg">
    Example: pass generate <b class="m_-2492182617681352069gmail_msg">-s "*#_!"</b> path/to/password 20<br class="m_-2492182617681352069gmail_msg">
    <br class="m_-2492182617681352069gmail_msg">
    I already checked man page and source code of pwgen. Unfortunately
    this feature is not provided out of the box.<br class="m_-2492182617681352069gmail_msg">
    <br class="m_-2492182617681352069gmail_msg">
    I see multiple possible solutions to this:<br class="m_-2492182617681352069gmail_msg">
    - Exchange pwgen with apg (possibly massive side-effects)<br class="m_-2492182617681352069gmail_msg">
    - Extend pwgen<br class="m_-2492182617681352069gmail_msg">
    - Let pass itself convert unwanted symbols generated by pwgen
    (hacky)<br class="m_-2492182617681352069gmail_msg">
    <br class="m_-2492182617681352069gmail_msg">
    What do you think?<br class="m_-2492182617681352069gmail_msg">
    <br class="m_-2492182617681352069gmail_msg">
    Cheers,<br class="m_-2492182617681352069gmail_msg">
    Michael Hoff
    <pre class="m_-2492182617681352069m_-6090593353007391630m_7498965962380501004moz-signature m_-2492182617681352069gmail_msg" cols="72">-- 
S/MIME and PGP (0xA79D31C0) supported
<a class="m_-2492182617681352069m_-6090593353007391630m_7498965962380501004moz-txt-link-freetext m_-2492182617681352069gmail_msg" href="https://michael-hoff.net" target="_blank">https://michael-hoff.net</a></pre>
  </div></div></div>

______________________________<wbr>_________________<br class="m_-2492182617681352069gmail_msg">
Password-Store mailing list<br class="m_-2492182617681352069gmail_msg">
<a href="mailto:Password-Store@lists.zx2c4.com" class="m_-2492182617681352069gmail_msg" target="_blank">Password-Store@lists.zx2c4.com</a><br class="m_-2492182617681352069gmail_msg">
<a href="http://lists.zx2c4.com/mailman/listinfo/password-store" rel="noreferrer" class="m_-2492182617681352069gmail_msg" target="_blank">http://lists.zx2c4.com/<wbr>mailman/listinfo/password-<wbr>store</a><span class="HOEnZb"><font color="#888888"><br class="m_-2492182617681352069gmail_msg">
</font></span></blockquote></div><span class="HOEnZb"><font color="#888888"><div dir="ltr">-- <br></div><div data-smartmail="gmail_signature"><div dir="ltr">Diego Depaoli</div></div>
</font></span><br>______________________________<wbr>_________________<br>
Password-Store mailing list<br>
<a href="mailto:Password-Store@lists.zx2c4.com">Password-Store@lists.zx2c4.com</a><br>
<a href="http://lists.zx2c4.com/mailman/listinfo/password-store" rel="noreferrer" target="_blank">http://lists.zx2c4.com/<wbr>mailman/listinfo/password-<wbr>store</a><br>
<br></blockquote></div><br></div>