<div dir="ltr">My belief is that doing the safe thing by default is a major plus of 
python. So in this point of view, using a cryptographic secure PRNG for random.random() should be done if possible. <br><div class="gmail_extra"><br>That would not change a lot the way of people creating insecure software by lack of knowledge (me the first) but could help a little<br><br><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_quote"><span class=""></span><div>I see a third: rename random.random() to be be something that gets the point across it is not crypto secure and then stop at that. I don't think the stdlib should get into the game of trying to provide a RNG that we claim is cryptographically secure as that will change suddenly when a weakness is discovered (this is one of the key reasons we chose not to consider adding requests to the stdlib, for instance).<br><br></div></div></div></blockquote><div> </div><div>This is in my opinion would not be a good idea. Having safe default is a major plus of python, it is not like not having default because one think it eventually it could become insecure.  And comparing a cryptographic secure PNRG with openSSL for the expected security release time is not fair because the complexity of  the both software is clearly different.<br></div></div></div></div>