Почему компьютер так долго отвечает «неверным паролем», когда правильный пароль почти мгновенный? [Дубликат]

10

Когда вы вводите пароль и он правильный, ответ практически мгновенный (т.е. процесс входа в систему).

Однако при вводе неверного пароля (случайно, забытого и т. Д.) Требуется некоторое время (10-30 секунд), прежде чем он ответит, что пароль был неверным.

Почему «неверный пароль» занимает так много времени (относительно)?

Это всегда мешало мне вводить неправильные пароли в Windows и Linux (реальные и виртуальные машины); Я не уверен насчет Mac OSX, так как не могу вспомнить, если это так, прошло некоторое время с тех пор, как я последний раз использовал Mac.

РЕДАКТИРОВАТЬ: ради дублирования, я спрашиваю в контексте входа пользователя в систему на физическом компьютере, а не через ssh, который может использовать несколько другие механизмы для входа / проверки учетных данных.

linux windows passwords Thermatix
источник
Причины те же самые по сравнению с дубликатом (логин SSH).
Йенс Эрат
Это не так, контекст другой; Другое отличие состоит в том, что предоставленный ответ не такой подробный
Thermatix
Я согласен с ОП. Вопросы, безусловно, связаны, но не совпадают. Ответ на вопрос «почему SSH так долго говорит« неверный пароль »в удаленном соединении?» не обязательно совпадает с ответом на вопрос «почему для входа в Windows требуется так много времени, чтобы сказать« неверный пароль », когда я нахожусь за консолью?», хотя они могут быть похожими. Определенно связаны, сомнительно дублирует.
CVn
Для потомков, на случай, если это откроется снова , предполагаемый дубликат: Почему попытка неверного пароля займет намного больше времени, чем корректный? Обратите внимание, что помимо заголовка единственный конкретный пример - удаленное SSH-соединение с хостом Linux.
CVn

Ответы:

17

Почему «неверный пароль» занимает так много времени (относительно)?

Это не так. Или, скорее, компьютеру больше не требуется, чтобы определить, что ваш пароль неверен по сравнению с его правильностью. Работа с компьютером в идеале точно такая же. (Любая схема проверки пароля, которая занимает разное время в зависимости от того, является ли пароль правильной или неправильной, может быть использована для получения, хотя и небольшого, знания о пароле за меньшее время, чем в противном случае.)

Задержка - это искусственная задержка, из- за которой повторные попытки получить доступ с использованием разных паролей невозможны, даже если у вас есть какое-то представление о том, какой пароль вероятен, и автоматическая блокировка учетной записи отключена (что должно быть в большинстве сценариев, поскольку в противном случае разрешить тривиальный отказ в обслуживании против произвольного аккаунта).

Общий термин для этого поведения - брезент . В то время как статья в Википедии больше говорит о проблемах с сетевым сервисом, эта концепция является общей. Старая новая вещь также не является официальным источником, но почему для отклонения неверного пароля требуется больше времени, чем для принятия действительного? говорит об этом в конце статьи.

CVn
источник
Мне тоже интересно это! Интересный ответ. Хотелось бы, чтобы они могли сделать задержку немного короче, потому что раздражать так долго ждать, когда сразу после нажатия клавиши ввода понимаешь, что это неправильно: П
Блейн,
1
Эта защита в основном предназначена для сценариев и автоматизированных методов грубой силы, а не для интерактивных входов в систему. Существует несколько причин, по которым вы не можете настроить время, в том числе то, что во многих случаях задержка является случайной (порядка миллисекунд). Существует ряд атак криптографии, называемых анализом синхронизации, которые пытаются получить информацию о криптографическом ключе на основе того, сколько времени потребовалось для создания сообщения об ошибке. случайная задержка побеждает это приятно.
Фрэнк Томас
@FrankThomas Я с готовностью признаю, что не указал, какими средствами были предприняты повторные попытки. Тем не менее, существует очень реальная и заметная задержка во многих системах безопасности при предоставлении неверных учетных данных, что предотвращает дальнейшие попытки в течение некоторого короткого, но приемлемого для человека количества времени. Поскольку в этот момент вы уже обращаетесь к системе в интерактивном режиме, атака по времени микросекундного или миллисекундного уровня на криптографические примитивы на самом деле не применяется.
CVn
Это авторитетно? У вас есть статья или ссылка?
rfportilla
@rfportilla "Авторитетный"? Нет. OP для начала запрашивает две или три совершенно разные операционные системы, одна из которых может иметь любое количество приложений системного уровня (менеджер входа в систему, заставку, ...), запрашивающих пароли, а две другие являются проприетарными. (поэтому мы не знаем их внутреннюю работу). Невозможно предоставить авторитетный источник, охватывающий все это. Если бы вопрос был "почему gdm3 делает это таким образом?" тогда действительно авторитетный ответ мог бы быть возможен, но здесь это не так.
CVn