Pour la protection de vos données digitales, de nombreux experts recommandent l'utilisation de longs mots de passe. Pour aller un cran au-dessus niveau sécurité, certains sont allés plus loin en proposant l'utilisation de longs mots de passe générés de façon aléatoire. Seulement, à la lumière d'un élément, une longueur trop importante pour un mot de passe pourrait causer un préjudice à la sécurité.
Il s'agit d'une vulnérabilité qui vient à peine d'obtenir un correctif dans le framework open-source de développement Web Django. Rappelons que, par défaut, les mots de passe en texte clair sont transformés en chaînes de caractères appelées hashs cryptographiques grâce à l'algorithme PBKDF2 Password-Based Key Derivation Function 2). Du fait qu'il passe par de multiples séries de hachages qui augmentent considérablement le temps et les ressources de calcul nécessaires, il est un des moyens les plus sécurisés que peuvent utiliser les sites web pour la gestion des mots de passe.
Toutefois, les développeurs Django expliquent dans un billet blog en quoi ce renforcement sécuritaire peut être une lame à double tranchant.
« Cette complexité peut également être utilisée comme un vecteur d'attaque. Django n'impose pas clairement une longueur maximale au mot de passe, ce qui signifie qu'un attaquant pourrait soumettre des mots de passe -à échec garanti - aux longueurs arbitrairement grandes. Ce qui obligerait le serveur Django à effectuer un calcul coûteux dans sa tentative de vérifier le mot de passe. Un mot de passe d'un méga byte par exemple va demander près d'une minute de vérification en utilisant PBKDF2. Cela permet des attaques DoS au travers de soumissions répétées de larges mots de passe en attachant les ressources du serveur dans un calcul coûteux des hashs correspondants ».
Les mises à jour ont suivi et désormais les mots de passe sont limités à 4096 bytes. La communauté en profite pour rappeler qu'elle préfère que les utilisateurs développeurs de Django préfèrent recevoir les informations relatives à la sécurité en privé sur le courriel security@djangoproject.com afin de corriger la faille avant qu'elle ne devienne largement connue. Ce rappel intervient après qu'un développeur ait révélé la vulnérabilité DoS sur un forum public.
Source : Django Project
Et vous ?
Qu'en pensez-vous ?
Les mots de passe trop longs peuvent occasionner une attaque DoS
La communauté Django explique pourquoi
Les mots de passe trop longs peuvent occasionner une attaque DoS
La communauté Django explique pourquoi
Le , par Stéphane le calme
Une erreur dans cette actualité ? Signalez-nous-la !