據(jù)國(guó)外媒體報(bào)道，Django開(kāi)源Web應(yīng)用框架周一放出一款安全補(bǔ)丁，指出過(guò)長(zhǎng)的密碼其實(shí)也存在安全問(wèn)題，容易被黑客利用成為DoS攻擊手段之一。

　　過(guò)去相當(dāng)一段時(shí)間，我們都強(qiáng)調(diào)要用復(fù)雜且較長(zhǎng)的密碼來(lái)保護(hù)我們的數(shù)字資產(chǎn)。大多數(shù)網(wǎng)站在保存用戶密碼時(shí)會(huì)使用PBKDF2等算法進(jìn)行加密，以讓明文信息得以哈希值的方式保持于數(shù)據(jù)庫(kù)中。然而，這種加密過(guò)程會(huì)要求服務(wù)器執(zhí)行較為復(fù)雜的計(jì)算，而密碼越長(zhǎng)，所消耗的計(jì)算時(shí)間也就越長(zhǎng)。

　　根據(jù)Django今日的聲明指出，一段長(zhǎng)達(dá)1兆字節(jié)的密碼若采用PBKDF2算法進(jìn)行加密，需耗費(fèi)服務(wù)器約一分鐘左右的計(jì)算時(shí)間。此種情況會(huì)被黑客所利用——即故意反復(fù)發(fā)送長(zhǎng)度較長(zhǎng)，且必定不匹配的密碼，則有可能導(dǎo)致服務(wù)器宕機(jī)，成為典型的DoS攻擊案例。

　　鑒于此，Django在今天的安全更新中特別對(duì)密碼長(zhǎng)度進(jìn)行了限制，為4096個(gè)字節(jié)。