密碼過長也不安全 易被黑客利用發起DoS攻擊

　　據國外媒體報道，Django開源Web應用框架周一放出一款安全補丁，指出過長的密碼其實也存在安全問題，容易被黑客利用成為DoS攻擊手段之一。

　　過去相當一段時間，我們都強調要用復雜且較長的密碼來保護我們的數字資產。大多數網站在保存用戶密碼時會使用PBKDF2等算法進行加密，以讓明文信息得以哈希值的方式保持於數據庫中。然而，這種加密過程會要求服務器執行較為復雜的計算，而密碼越長，所消耗的計算時間也就越長。

　　根據Django今日的聲明指出，一段長達1兆字節的密碼若采用PBKDF2算法進行加密，需耗費服務器約一分鐘左右的計算時間。此種情況會被黑客所利用——即故意反復發送長度較長，且必定不匹配的密碼，則有可能導致服務器宕機，成為典型的DoS攻擊案例。

　　鑒於此，Django在今天的安全更新中特別對密碼長度進行了限制，為4096個字節。