Tại sao máy tính phải mất quá nhiều thời gian để phản hồi với mật khẩu không hợp lệ của Bỉ, khi sử dụng một mật khẩu chính xác là gần ngay lập tức? [bản sao]

Khi bạn nhập mật khẩu và nó chính xác, phản hồi thực tế là tức thời (tức là quá trình đăng nhập).

Tuy nhiên, khi bạn nhập mật khẩu không chính xác (vô tình, bị quên, v.v.), phải mất một lúc (10-30 giây) trước khi nó trả lời rằng mật khẩu không chính xác.

Tại sao phải mất quá nhiều thời gian (tương đối) để nói "mật khẩu không chính xác"?

Điều này luôn làm tôi khó chịu về việc nhập mật khẩu không chính xác trên Windows và linux (real và VM); Tôi không chắc chắn về mac OSX vì tôi không thể nhớ nếu nó giống nhau, đã một lúc kể từ lần cuối tôi sử dụng máy mac.

EDIT: vì mục đích sao chép, tôi đang hỏi trong bối cảnh người dùng đăng nhập vào hệ thống trên máy tính vật lý thay vì thông qua ssh có thể sử dụng một số cơ chế khác nhau để đăng nhập / xác thực thông tin đăng nhập.

linux windows passwords

— Thermatix
nguồn

Những lý do là hoàn toàn giống nhau so với bản sao (đăng nhập SSH).

— Jens Erat

Họ không, bối cảnh là khác nhau; sự khác biệt khác là câu trả lời được cung cấp không chi tiết

— Thermatix

Tôi đồng ý với OP. Các câu hỏi chắc chắn có liên quan, nhưng không giống nhau. Câu trả lời cho "tại sao phải mất quá lâu để SSH nói 'mật khẩu không hợp lệ' trên kết nối từ xa?" không nhất thiết giống như một câu trả lời cho "tại sao phải mất quá lâu để đăng nhập Windows để nói" mật khẩu không hợp lệ "khi tôi ở bàn điều khiển?", mặc dù chúng có thể giống nhau. Chắc chắn liên quan, trùng lặp nghi ngờ.

— một CVN

Đối với hậu thế, chỉ trong trường hợp điều này được mở lại, trùng lặp được cho là Tại sao một lần thử mật khẩu không chính xác sẽ mất nhiều thời gian để xử lý hơn một mật khẩu chính xác? , nhưng lưu ý rằng ngoài tiêu đề, ví dụ cụ thể duy nhất được đưa ra là có kết nối SSH từ xa đến máy chủ Linux.

— một CVn

Tại sao phải mất quá nhiều thời gian (tương đối) để nói "mật khẩu không chính xác"?

Nó không. Hay đúng hơn, nó không mất máy tính nữa để xác định rằng mật khẩu của bạn không chính xác so với mật khẩu là chính xác. Các công việc liên quan đến máy tính là, lý tưởng, chính xác như nhau. .

Sự chậm trễ là một sự chậm trễ giả tạo để liên tục cố gắng giành quyền truy cập bằng cách sử dụng các mật khẩu khác nhau, ngay cả khi bạn có ý tưởng về mật khẩu có thể là gì và khóa tài khoản tự động bị vô hiệu hóa (điều này sẽ xảy ra trong hầu hết các trường hợp, vì nó sẽ xảy ra cho phép từ chối dịch vụ tầm thường đối với tài khoản tùy ý).

Thuật ngữ chung cho hành vi này là tarpits . Trong khi bài viết Wikipedia nói nhiều hơn về việc khai thác dịch vụ mạng, khái niệm này là chung chung. Old New Thing cũng không phải là một nguồn chính thức, nhưng tại sao phải mất nhiều thời gian hơn để từ chối một mật khẩu không hợp lệ hơn là chấp nhận một mật khẩu hợp lệ? không nói về điều này gần cuối bài viết.

— một CVn
nguồn

Tôi cũng đã tự hỏi điều này! Phản ứng thú vị. Tuy nhiên, tôi ước họ có thể làm cho sự chậm trễ ngắn hơn một chút, vì thật khó chịu khi phải chờ đợi lâu khi bạn nhận ra ngay sau khi nhấn enter rằng điều đó là sai: P

— Blaine

Sự bảo vệ này chủ yếu nhắm vào các kịch bản và các kỹ thuật vũ phu tự động hơn là các thông tin đăng nhập tương tác. Có một vài lý do bạn không thể điều chỉnh thời gian, bao gồm trong nhiều trường hợp, độ trễ là ngẫu nhiên (theo thứ tự mili giây). có một loạt các cuộc tấn công của mật mã được gọi là Phân tích thời gian, cố gắng thu thập kiến thức về khóa mật mã dựa trên thời gian cần thiết để tạo ra một thông báo lỗi. một sự chậm trễ ngẫu nhiên đánh bại điều đó độc đáo.

— Frank Thomas

@FrankThomas Tôi sẽ dễ dàng thừa nhận rằng tôi đã không nêu rõ các phương tiện mà các nỗ lực lặp lại đang được thực hiện. Điều đó nói rằng, có một sự chậm trễ rất thực tế và đáng chú ý trong nhiều hệ thống bảo mật khi cung cấp thông tin không hợp lệ, ngăn chặn những nỗ lực tiếp theo trong một khoảng thời gian ngắn nhưng có thể nhận biết được của con người. Vì tại thời điểm đó, bạn đã truy cập hệ thống một cách tương tác, các cuộc tấn công thời gian ở cấp độ micro giây hoặc mili giây đối với các nguyên thủy mã hóa không thực sự được áp dụng.

— CVn

Đây có phải là thẩm quyền? Bạn có một bài viết hoặc một cái gì đó để tham khảo?

— rfportilla

@rfportilla "Có thẩm quyền"? Không. OP đang hỏi về hai hoặc ba hệ điều hành hoàn toàn khác nhau, để bắt đầu, một trong số đó có thể có bất kỳ số lượng ứng dụng cấp hệ thống nào (trình quản lý đăng nhập, trình bảo vệ màn hình, ...) nhắc nhở về mật khẩu và hai hệ thống còn lại là độc quyền (vì vậy chúng tôi không biết hoạt động bên trong của họ). Không thể cung cấp một nguồn có thẩm quyền bao gồm tất cả điều đó. Nếu câu hỏi là "tại sao gdm3 lại làm theo cách này?" sau đó một câu trả lời thực sự có thẩm quyền có thể đã có thể, nhưng đó không phải là trường hợp ở đây.

— một CVn