密码太长也不安全 或被利用发起DoS工具_最新动态_新闻资讯_程序员俱乐部

中国优秀的程序员网站程序员频道CXYCLUB技术地图
热搜:
更多>>
 
您所在的位置: 程序员俱乐部 > 新闻资讯 > 最新动态 > 密码太长也不安全 或被利用发起DoS工具

密码太长也不安全 或被利用发起DoS工具

 2013/9/17 12:12:30    程序员俱乐部  我要评论(0)
  • 摘要:Django开源Web应用框架周一放出一款安全补丁,指出过长的密码其实也存在安全问题,容易被黑客利用成为DoS攻击手段之一。过去相当一段时间,我们都强调要用复杂且较长的密码来保护我们的数字资产。大多数网站在保存用户密码时会使用PBKDF2等算法进行加密,以让明文信息得以哈希值的方式保持于数据库中。然而,这种加密过程会要求服务器执行较为复杂的计算,而密码越长,所消耗的计算时间也就越长。根据Django今日的声明指出,一段长达1兆字节的密码若采用PBKDF2算法进行加密
  • 标签:工具 利用 dos

  Django 开源 Web 应用框架周一放出一款安全补丁,指出过长的密码其实也存在安全问题,容易被黑客利用成为 DoS 攻击手段之一。

  过去相当一段时间,我们都强调要用复杂且较长的密码来保护我们的数字资产。大多数网站在保存用户密码时会使用 PBKDF2 等算法进行加密,以让明文信息得以哈希值的方式保持于数据库中。然而,这种加密过程会要求服务器执行较为复杂的计算,而密码越长,所消耗的计算时间也就越长。

  根据 Django 今日的声明指出,一段长达 1 兆字节的密码若采用 PBKDF2 算法进行加密,需耗费服务器约一分钟左右的计算时间。此种情况会被黑客所利用——即故意反复发送长度较长,且必定不匹配的密码,则有可能导致服务器宕机,成为典型的 DoS 攻击案例。

  鉴于此,Django 在今天的安全更新中特别对密码长度进行了限制,为 4096 个字节。

发表评论
用户名: 匿名