Les mots de passe trop longs peuvent occasionner une attaque DoS
La communauté Django explique pourquoi

Le , par Stéphane le calme, Chroniqueur Actualités
Pour la protection de vos données digitales, de nombreux experts recommandent l'utilisation de longs mots de passe. Pour aller un cran au-dessus niveau sécurité, certains sont allés plus loin en proposant l'utilisation de longs mots de passe générés de façon aléatoire. Seulement, à la lumière d'un élément, une longueur trop importante pour un mot de passe pourrait causer un préjudice à la sécurité.

Il s'agit d'une vulnérabilité qui vient à peine d'obtenir un correctif dans le framework open-source de développement Web Django. Rappelons que, par défaut, les mots de passe en texte clair sont transformés en chaînes de caractères appelées hashs cryptographiques grâce à l'algorithme PBKDF2 Password-Based Key Derivation Function 2). Du fait qu'il passe par de multiples séries de hachages qui augmentent considérablement le temps et les ressources de calcul nécessaires, il est un des moyens les plus sécurisés que peuvent utiliser les sites web pour la gestion des mots de passe.

Toutefois, les développeurs Django expliquent dans un billet blog en quoi ce renforcement sécuritaire peut être une lame à double tranchant.

« Cette complexité peut également être utilisée comme un vecteur d'attaque. Django n'impose pas clairement une longueur maximale au mot de passe, ce qui signifie qu'un attaquant pourrait soumettre des mots de passe -à échec garanti - aux longueurs arbitrairement grandes. Ce qui obligerait le serveur Django à effectuer un calcul coûteux dans sa tentative de vérifier le mot de passe. Un mot de passe d'un méga byte par exemple va demander près d'une minute de vérification en utilisant PBKDF2. Cela permet des attaques DoS au travers de soumissions répétées de larges mots de passe en attachant les ressources du serveur dans un calcul coûteux des hashs correspondants ».

Les mises à jour ont suivi et désormais les mots de passe sont limités à 4096 bytes. La communauté en profite pour rappeler qu'elle préfère que les utilisateurs développeurs de Django préfèrent recevoir les informations relatives à la sécurité en privé sur le courriel security@djangoproject.com afin de corriger la faille avant qu'elle ne devienne largement connue. Ce rappel intervient après qu'un développeur ait révélé la vulnérabilité DoS sur un forum public.

Source : Django Project

Et vous ?

Qu'en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Voïvode Voïvode - Membre émérite https://www.developpez.com
le 19/09/2013 à 15:04
Citation Envoyé par Stéphane le calme  Voir le message
Django n'impose pas clairement une longueur maximale au mot de passe

Donc c'est de leur faute.

Au moins ce genre d'information permet d'avertir les gens.
Avatar de Spleeen Spleeen - Nouveau membre du Club https://www.developpez.com
le 19/09/2013 à 15:18
Et dire que j'étais en train de me dire que je surchargeais peut-être les serveurs de mes sites préférées avec des mdp de 50 caractères... des mdp de plusieurs méga c'est quand même autre chose ! xD
Nan mais c'est de leurs fautes s'ils ne limitent pas la taille, sans déconner... puis 4kb c'est déjà absolument gigantesque...
Vérifier toutes entrées utilisateurs, c'est la base (ahahaha), on t'apprends ça en première année...
Avatar de Thorna Thorna - Membre éclairé https://www.developpez.com
le 19/09/2013 à 17:45
Les conseils donnés en général sont de trouver une phrase de quelques mots. Disons 5 mots de 8 lettres, avec quelques espaces et/ou chiffres pour faire beau, c'est bien le maxi, ça fait qu'on peut limiter les mdp à 50c et c'est bon.
Avatar de Jarodd Jarodd - Membre expérimenté https://www.developpez.com
le 19/09/2013 à 19:29
Pour la protection de vos données digitales

Perso je préfère mettre des gants : en plus des saletés, ça protège du froid. Bien mieux qu'un mot de passe.
Avatar de lilington lilington - Membre expérimenté https://www.developpez.com
le 27/09/2013 à 4:14
Citation Envoyé par Thorna  Voir le message
Les conseils donnés en général sont de trouver une phrase de quelques mots. Disons 5 mots de 8 lettres, avec quelques espaces et/ou chiffres pour faire beau, c'est bien le maxi, ça fait qu'on peut limiter les mdp à 50c et c'est bon.

entierement d'accord, je vois vraiment pas l'interet d'un mot de passe de 4096b, en plus c'est pas pratique a par faire du copier coller.
sinon 50c c'est bien mais on va arrondire a 63+1 (\0) pour faire jolie et bien
au dela c'est du n'importe quoi
Avatar de bob633 bob633 - Membre expérimenté https://www.developpez.com
le 30/09/2013 à 11:09
Moi j'en pense qu'à vouloir complexifier son mot de passe on se complexifie la tâche à soi-même. Et ça me fait encore plus rigoler quand les sites interdisent le copier / coller de mot de passe dans la zone de saisie

J'ai toujours des mots de passe avec une quinzaine de caractères et je n'ai jamais eu de soucis. Et c'est pas demain que j'irais mettre une phrase avec 7 - 8 mots comme mot de passe.

De là a avoir un mot de passe aléatoire .. je suis pas fan non plus, obliger d'avoir le mot de passe écrit sur un fichier (oui car tu n'utilises pas le même sur chaque site, tu peux pas retenir un truc du style fkpoj84@"ded par exemple multiplier par le nombre de site), et là qu'on me parle pas de sécurité ...
Avatar de Spleeen Spleeen - Nouveau membre du Club https://www.developpez.com
le 30/09/2013 à 13:52
Citation Envoyé par bob633  Voir le message
Moi j'en pense qu'à vouloir complexifier son mot de passe on se complexifie la tâche à soi-même. Et ça me fait encore plus rigoler quand les sites interdisent le copier / coller de mot de passe dans la zone de saisie

J'ai toujours des mots de passe avec une quinzaine de caractères et je n'ai jamais eu de soucis. Et c'est pas demain que j'irais mettre une phrase avec 7 - 8 mots comme mot de passe.

De là a avoir un mot de passe aléatoire .. je suis pas fan non plus, obliger d'avoir le mot de passe écrit sur un fichier (oui car tu n'utilises pas le même sur chaque site, tu peux pas retenir un truc du style fkpoj84@"ded par exemple multiplier par le nombre de site), et là qu'on me parle pas de sécurité ...

Oui ou il est peut-être grand temps que les gens se mettent à déléguer la gestion de leurs mots de passe à des outils fait pour cela. Non pas à leurs navigateurs qui est plutôt limite à ce niveau. Mais à de vrais outils sécurisés (oui du AES 512 l'est), comme LastPass (gratuit, payant pour les applis mobiles) ou Dashlane. Je ne retiens pas mes très longs mots de passe et ne m'inscrit pas sur des sites imposant une limite extrême à 10 chiffres/lettres et ne proposant pas de connexions FB ou OpenID.
Je ne m'en soucis absolument pas de mes mots de passe depuis bientôt six ans.
Je les ai partout, en tout temps. De toute manière une règle existe dans la sécurité : plus c'est contraignant et plus les gens bypass la sécu. Il faut inventer de nouveaux systèmes de sécu ultra simple, ultra réactif et sécurisé.
Avatar de fredoche fredoche - Membre chevronné https://www.developpez.com
le 16/10/2013 à 16:18
Citation Envoyé par Spleeen  Voir le message
Je les ai partout, en tout temps.

Jamais de coupure internet ?
Avatar de Spleeen Spleeen - Nouveau membre du Club https://www.developpez.com
le 16/10/2013 à 16:20
Citation Envoyé par fredoche  Voir le message
Jamais de coupure internet ?

Pas vraiment, je suis qqun d'hyper connecté. Mais si c'est le cas (à la campagne par exemple), je n'aurai pas non plus moyen d'aller sur un site
Mais Lastpass crée aussi une base locale
Avatar de kanecat kanecat - Futur Membre du Club https://www.developpez.com
le 08/01/2014 à 12:16
A mon avis, mieux vaut utiliser un mot de passe long qu'un mot de passe court.
Perso, j'utilise Lastpass pour générer des mots de passe longs (8 ou9 caractères)et complexes (majuscule, minuscule et chiffres) .Mais je sais que cela ne suffit pas pour protéger ses compte. Donc il faut changer régulièrement de mots de passe pour rendre la tâches des pirates difficiles.
Offres d'emploi IT
Consultant sap finance/controlling H/F
Safran - Ile de France - Vélizy-Villacoublay (78140)
Architecte sécurité des systèmes d'information embarqués H/F
Safran - Ile de France - 100 rue de Paris 91300 MASSY
Ingénieur conception en électronique de puissance H/F
Safran - Ile de France - Moissy-Cramayel (77550)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil