據(jù)國外媒體報(bào)道，Django開源Web應(yīng)用框架周一放出一款安全補(bǔ)丁，指出過長的密碼其實(shí)也存在安全問題，容易被黑客利用成為DoS攻擊手段之一。

　　過去相當(dāng)一段時(shí)間，我們都強(qiáng)調(diào)要用復(fù)雜且較長的密碼來保護(hù)我們的數(shù)字資產(chǎn)。大多數(shù)網(wǎng)站在保存用戶密碼時(shí)會使用PBKDF2等算法進(jìn)行加密，以讓明文信息得以哈希值的方式保持于數(shù)據(jù)庫中。然而，這種加密過程會要求服務(wù)器執(zhí)行較為復(fù)雜的計(jì)算，而密碼越長，所消耗的計(jì)算時(shí)間也就越長。

　　根據(jù)Django今日的聲明指出，一段長達(dá)1兆字節(jié)的密碼若采用PBKDF2算法進(jìn)行加密，需耗費(fèi)服務(wù)器約一分鐘左右的計(jì)算時(shí)間。此種情況會被黑客所利用——即故意反復(fù)發(fā)送長度較長，且必定不匹配的密碼，則有可能導(dǎo)致服務(wù)器宕機(jī)，成為典型的DoS攻擊案例。

　　鑒于此，Django在今天的安全更新中特別對密碼長度進(jìn)行了限制，為4096個(gè)字節(jié)。