Lange wachtwoorden ongewenst
Als het goed is, controleert een site de juistheid van een ingevoerd wachtwoord niet door het te vergelijken met een opgeslagen versie van dat wachtwoord zelf. Het achter de hand houden van de oorspronkelijke wachtwoorden zelf zou de site, en zijn gebruikers, immers kwetsbaar maken voor de gevolgen van diefstal van zo'n referentiebestand.
Shutterstock
Shutterstock
In plaats van de wachtwoorden zelf als referentie op te slaan, bewaren sites als regel slechts zogeheten hashes van de wachtwoorden. Uit zo'n hash is het wachtwoord zelf onmogelijk nog af te leiden, maar als opnieuw een een wachtwoord wordt aangeboden, kan wel opnieuw de bijbehorende hash worden gegenereerd. Als die anders is dan de eerder verkregen referentie-hash, dan was het wachtwoord blijkbaar ook anders.
Hash-codes
Die 'ver-hash-ing' neemt even tijd, en als het wachtwoord lang is zelfs veel tijd. Een wachtwoord met een lengte van een megabyte kan, bij gebruik van het algemeen betrouwbaar geachte PBKDF2-algoritme, de server misschien wel langer dan een minuut bezighouden. Een paar honderd van zulke lange wachtwoorden aanbieden en de site ligt plat in een DoS.
De makers Django hebben om die reden besloten op hun webapplicatieframework alsnog een maximale wachtwoordlengte van - nog steeds aanzienlijk - 4096 tekens door te voeren. Dat blijkt uit een gisteren geplaatste post op hun blog. Aanleiding voor de patch was een melding van de kwetsbaarheid via een forum door veel hackers bezocht online forum.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee