Senhas grandes são boas, mas podem gerar DOS

Muito se aconselha na internet os usuários a usar senhas longas e gerados aleatoriamente para proteger seus ativos digitais. Agora vem a prova definitiva de que o excesso de comprimento da senha pode ser prejudicial para a segurança.

Ele vem em forma de vulnerabilidade recém-remendada em framework de desenvolvimento do Django Web. Por padrão, ele usa o algoritmo PBKDF2 transformar senhas em texto simples em longas cadeias chamadas de hashes criptográficos. O problemas dessas senhas é passa-los através de várias rodadas de hashing que aumentam significativamente o tempo e os recursos computacionais necessários. Para grandes bancos de dados de senha, o esforço adicional pode literalmente adicionar séculos para o processo de quebra as senhas.

Os desenvolvedores do Django dizem, este esforço maior por segurança pode ser uma lâmina de dois gumes. Em um comunicado os desenvolvedores explicam o porquê:

 

Unfortunately, this complexity can also be used as an attack vector. Django does not impose any maximum on the length of the plaintext password, meaning that an attacker can simply submit arbitrarily large—and guaranteed-to-fail—passwords, forcing a server running Django to perform the resulting expensive hash computation in an attempt to check the password. A password one megabyte in size, for example, will require roughly one minute of computation to check when using the PBKDF2 hasher.

This allows for denial-of-service attacks through repeated submission of large passwords, tying up server resources in the expensive computation of the corresponding hashes.

Pouco depois alguém divulgou a vulnerabilidade de negação de serviço em um fórum público para desenvolvedores Django, mantenedores rapidamente correram para consertá-la. As atualizações, que limitam senhas para 4096 bytes, estão ligados à assessoria de segunda-feira. O cargo passou a usuários lembrou que os desenvolvedores do Django preferem receber divulgações de segurança privada em security@djangoproject.com para que eles possam corrigir a vulnerabilidade antes de se tornar amplamente conhecido.

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s