據國外媒體報導,Django開源Web應用框架週一放出一款安全補丁,指出過長的密碼其實也存在安全問題,容易被駭客利用成為DoS攻擊手段之一。
過去相當一段時間,我們都強調要用複雜且較長的密碼來保護我們的數字資產。大多數網站在儲存使用者密碼時會使用PBKDF2等演算法進行加密,以讓明文資訊得以雜湊值的方式保持於資料庫中。然而,這種加密過程會要求伺服器執行較為複雜的計算,而密碼越長,所消耗的計算時間也就越長。
根據Django今日的宣告指出,一段長達1兆位元組的密碼若採用PBKDF2演算法進行加密,需耗費伺服器約一分鐘左右的計算時間。此種情況會被駭客所利用——即故意反覆傳送長度較長,且必定不匹配的密碼,則有可能導致伺服器當機,成為典型的DoS攻擊案例。
鑑於此,Django在今天的安全更新中特別對密碼長度進行了限制,為4096個位元組。