مطالب پربازدید

1404/07/10 - 08:30- جنگ سایبری

«حملات تخریبی» به کشور۳ برابر شد/ افشای نام «اهداف اصلی» حملات هکرها

بر اساس داده‌های گزارش سالانه گراف، هوش مصنوعی مولد (GenAI) چشم‌انداز تهدیدات ایران را در سال ۱۴۰۳ دگرگون کرد؛ جایی که حملات با LLMJacking، باج‌افزار و فریب‌های پیشرفته، نهادهای دولتی و آموزشی را در کانون هدف قرار دادند.

1404/06/26 - 14:35- جنگ سایبری

تمرکز اسرائیل بر «پیجر» و جنگ الکترونیک در نبردهای آینده با ایران

مقامات رژیم صهیونیستی، طراحی عملیات‌های غافلگیر کننده ای همچون عملیات پیجرها برای جنگ آینده با ایران را ضروری می دانند.

1404/08/05 - 14:27- جنگ سایبری

اسرار نظامی و اطلاعات سری پدافند لیزری اسرائیل به دست هکرها افتاد

گروه هکری جبهه پشتیبانی سایبری «الجبهة الإسناد السيبرانية» اعلام کرد که با نفوذ به شرکت نظامی مایا، به اطلاعات محرمانه پدافند پیشرفته لیزری Iron Beam و تعداد زیادی از سلاح‌های پیشرفته اسرائیل دست یافته است.

انتشار شده در تاریخ 1392/06/27 - 13:45

وقتی رمز عبور طولانی هم به ضرر شما تمام می‌شود

وبگاه‌های امنیتی همیشه به کاربران توصیه می‌کنند که از گذرواژه‌های طولانی، پیچیده و تصادفی، برای حفاظت از حساب‌های کاربری خود استفاده کنند.

وبگاه‌های امنیتی همیشه به کاربران توصیه می‌کنند که از گذرواژه‌های طولانی، پیچیده و تصادفی، برای حفاظت از حساب‌های کاربری خود استفاده کنند. اما اکنون شواهدی به دست آمده که نشان می‌دهد گذرواژه‌های طولانی می‌توانند، به گونه‌ای دیگر، برای امنیت سامانه‌های رایانه‌ای مضر باشند.

این مشکل نوعی آسیب‌پذیری در بستر توسعه‌ی وب Django Web است. به طور پیشفرض، این نرم‌افزار از الگوریتم PBKDF2 برای تبدیل گذرواژه‌های متنی به رشته‌های طولانی، که هش‌های رمزنگاری‌شده نامیده می‌شوند، استفاده می‌کند. مانند scrypt و bcrypt، این الگوریتم یکی از امن‌ترین راه‌هایی است که وبگاه‌ها می‌توانند گذرواژه‌ها را ذخیره کنند؛ زیرا PBKDF2 آن‌ها را از فرایند‌های تولید هشِ متعددی عبور می‌دهد که البته باعث افزایش قابل توجه زمان و منابع رایانشیِ لازم، می‌شود. این مسأله باعث می‌شود در صورتی که رخنه‌ای به پایگاه داده‌ی گذرواژه‌ها صورت بگیرد، مهاجمان به قرن‌ها زمان برای شکستن رمزنگاری گذرواژه‌ها نیاز داشته باشند.

اما همانطور که توسعه‌دهندگان Django متوجه شده‌اند، این امنیت فوق‌العاده می‌تواند یک شمشیر دولبه باشد. آن‌ها در پستی در وبگاه خود این موضوع را شرح داده‌اند:

«متاسفانه از این پیچیدگی می‌توان به عنوان یک بردار حمله نیز بهره‌برد. Django هیچ حدِ بالایی برای طول گذرواژه‌ها تعیین نمی‌کند، و این یعنی یک مهاجم می‌تواند با وارد نمودن یک گذرواژه‌ی بسیار طولانی – که حتماً غلط باشد – کارگزاری را که از Django استفاده می‌کند، مجبور به انجام یک محاسبه‌ی هش طولانی کند. به عنوان مثال این گذرواژه می‌تواند یک مگابایت باشد، که در صورت استفاده از PBKDF2 نیازمند حدود یک دقیقه محاسبه خواهد بود.

این موضوع، اجازه انجام حملات انسداد سرویس با استفاده از ارسال مکرر گذرواژه‌های طولانی و اتلاف منابع کارگزار برای محاسبه‌ی هش آن‌ها، را می‌دهد.»

پس از آنکه یک کاربر این آسیب‌پذیری را در انجمن‌های عمومی توسعه‌دهندگان Django مطرح ساخت، مسئولین نگهداری Django به سرعت به وصله‌ی آن پرداختند. به‌روزرسانی ارائه شده که گذرواژه‌ها را به ۴۰۹۶ بایت محدود می‌سازد هم‌اکنون در وبگاه Django موجود است.