據國外媒體報道,Django開源Web應用框架周一放出一款安全補丁,指出過長的密碼其實也存在安全問題,容易被黑客利用成為DoS攻擊手段之一。
過去相當一段時間,我們都強調要用復雜且較長的密碼來保護我們的數字資產。大多數網站在保存用戶密碼時會使用PBKDF2等算法進行加密,以讓明文信息得以哈希值的方式保持於數據庫中。然而,這種加密過程會要求服務器執行較為復雜的計算,而密碼越長,所消耗的計算時間也就越長。
根據Django今日的聲明指出,一段長達1兆字節的密碼若采用PBKDF2算法進行加密,需耗費服務器約一分鐘左右的計算時間。此種情況會被黑客所利用——即故意反復發送長度較長,且必定不匹配的密碼,則有可能導致服務器宕機,成為典型的DoS攻擊案例。
鑒於此,Django在今天的安全更新中特別對密碼長度進行了限制,為4096個字節。