Django開(kāi)源Web應(yīng)用框架周一放出一款安全補(bǔ)丁，指出過(guò)長(zhǎng)的密碼其實(shí)也存在安全問(wèn)題，容易被黑客利用成為DoS攻擊手段之一。過(guò)去相當(dāng)一段時(shí)間，我們都強(qiáng)調(diào)要用復(fù)雜且較長(zhǎng)的密碼來(lái)保護(hù)我們的數(shù)字資產(chǎn)。大多數(shù)網(wǎng)站在保存用戶密碼時(shí)會(huì)使用PBKDF2等算法進(jìn)行加密，以讓明文信息得以哈希值的方式保持于數(shù)據(jù)庫(kù)中。然而，這種加密過(guò)程會(huì)要求服務(wù)器執(zhí)行較為復(fù)雜的計(jì)算，而密碼越長(zhǎng)，所消耗的計(jì)算時(shí)間也就越長(zhǎng)。

根據(jù)Django今日的聲明指出，一段長(zhǎng)達(dá)1兆字節(jié)的密碼若采用PBKDF2算法進(jìn)行加密，需耗費(fèi)服務(wù)器約一分鐘左右的計(jì)算時(shí)間。此種情況會(huì)被黑客所利用——即故意反復(fù)發(fā)送長(zhǎng)度較長(zhǎng)，且必定不匹配的密碼，則有可能導(dǎo)致服務(wù)器宕機(jī)，成為典型的DoS攻擊案例。

鑒于此，Django在今天的安全更新中特別對(duì)密碼長(zhǎng)度進(jìn)行了限制，為4096個(gè)字節(jié)。

　　推薦閱讀

　　蘋(píng)果未公布iPhone 5c預(yù)銷(xiāo)售數(shù)字 股價(jià)大跌

據(jù)國(guó)外媒體報(bào)道，蘋(píng)果官方周一未公布iPhone 5c預(yù)售數(shù)字，此現(xiàn)象為200>>>詳細(xì)閱讀

本文標(biāo)題：密碼太長(zhǎng)也不安全 或被利用發(fā)起DoS工具

地址：http://www.sdlzkt.com/a/05/20130917/287158.html

 1/2    1  2 下一頁(yè)