【樓主】2013-09-17 10:31
» 密碼太長(zhǎng)也不安全 或被利用發(fā)起DoS工具
Django 開(kāi)源 Web 應(yīng)用框架周一放出一款安全補(bǔ)丁����,指出過(guò)長(zhǎng)的密碼其實(shí)也存在安全問(wèn)題�,容易被黑客利用成為 DoS 攻擊手段之一。
過(guò)去相當(dāng)一段時(shí)間�,我們都強(qiáng)調(diào)要用復(fù)雜且較長(zhǎng)的密碼來(lái)保護(hù)我們的數(shù)字資產(chǎn)。大多數(shù)網(wǎng)站在保存用戶密碼時(shí)會(huì)使用 PBKDF2 等算法進(jìn)行加密��,以讓明文信息得以哈希值的方式保持于數(shù)據(jù)庫(kù)中���。然而,這種加密過(guò)程會(huì)要求服務(wù)器執(zhí)行較為復(fù)雜的計(jì)算����,而密碼越長(zhǎng),所消耗的計(jì)算時(shí)間也就越長(zhǎng)��。
根據(jù) Django 今日的聲明指出�����,一段長(zhǎng)達(dá) 1 兆字節(jié)的密碼若采用 PBKDF2 算法進(jìn)行加密��,需耗費(fèi)服務(wù)器約一分鐘左右的計(jì)算時(shí)間�。此種情況會(huì)被黑客所利用——即故意反復(fù)發(fā)送長(zhǎng)度較長(zhǎng)�����,且必定不匹配的密碼���,則有可能導(dǎo)致服務(wù)器宕機(jī)���,成為典型的 DoS 攻擊案例��。
鑒于此����,Django 在今天的安全更新中特別對(duì)密碼長(zhǎng)度進(jìn)行了限制����,為 4096 個(gè)字節(jié)����。
LOL羅輯思維全國(guó)人大代表真三搞笑視頻柳巖
