If-Koubou

Защо отнема по-дълго време, за да може даден компютър да отговори на неправилен парол срещу правилен?

Защо отнема по-дълго време, за да може даден компютър да отговори на неправилен парол срещу правилен? (Как да)

Въвели ли сте някога погрешна парола на компютъра си случайно и сте забелязали, че отнема няколко минути, за да отговори, в сравнение с въвеждането на правилната? Защо така? Днешната публикация "SuperUser Q & A" е отговорът на въпроса на любознателен читател.

Днешната сесия за въпроси и отговори ни идва с любезното съдействие на SuperUser - подразделение на Stack Exchange - обединяване на уеб сайтове с въпроси и отговори.

Скрийншотът е предоставен от sully213 (Flickr).

Въпроса

Потребител на четец на SuperUser3536548 иска да знае защо има по-дълго време за реакция при въвеждане на неправилна парола:

Когато въвеждате парола и е правилно, времето за реакция е практически моментно. Но когато въведете неправилна парола (случайно или сте забравили правилната), тя отнема известно време (10-30 секунди), преди да отговори, че паролата е неправилна.

Защо отнема толкова време (относително), че паролата е неправилна? Това винаги ме подслушва при въвеждане на неправилни пароли на Windows и Linux системи (редовни и базирани на VM). Не съм сигурен за Mac OSX, тъй като не мога да си спомня, ако е същото (това е известно време, откакто последно използвах Mac).

Питам в контекста на това, че даден потребител влиза в системата физически на място, а не чрез SSH, което би могло да използва по някакъв начин различни механизми за влизане (потвърждаване на пълномощията).

Защо има по-дълго време за реакция, когато въвеждате неправилна парола?

Отговорът

Сътрудникът на SuperUser Майкъл Кьорлинг има отговор за нас:

Защо отнема толкова време (относително), че паролата е неправилна?

Това не е така. Или по-скоро, компютърът вече не се нуждае от компютъра, за да определи, че паролата ви е неправилна в сравнение с това, че е правилна. Работата, свързана с компютъра, в идеалния случай е същата. Всяка схема за потвърждаване на паролата, която отнема различно време въз основа на това дали паролата е правилна или неправилна, може да бъде използвана за получаване на знания, колкото и да е малка, за паролата за по-малко време, отколкото би било в противен случай.

Забавянето е изкуствено забавяне, за да се опитвате често да се опитвате да получите достъп, като използвате различни пароли, дори ако имате някаква представа за това какво е паролата и автоматичното блокиране на профила е забранено (което би трябвало да бъде в повечето сценарии, тривиално отказване на услуга срещу произволна сметка).

Общият термин за това поведение е tarpitting. Докато статията в Wikipedia разказва повече за tarpitting на мрежата, концепцията е обща. Старото ново нещо също не е официален източник, но статията "Защо отнема повече време, за да отхвърлите невалидна парола, отколкото да приемете валидна?" говори за това (в края на статията).

Имате ли нещо, което да добавите към обяснението? Звучи в коментарите. Искате ли да прочетете повече отговори от други потребители на Stack Exchange? Вижте цялата тема на дискусията тук.