¿Alguna vez ingresó una contraseña incorrecta en su computadora por accidente y notó que le toma unos minutos responder en comparación con ingresar la contraseña correcta? ¿Porqué es eso? La publicación de preguntas y respuestas del superusuario de hoy tiene la respuesta a la pregunta de un lector curioso.
La sesión de preguntas y respuestas de hoy nos llega por cortesía de SuperUser, una subdivisión de Stack Exchange, una agrupación de sitios web de preguntas y respuestas impulsada por la comunidad.
Captura de pantalla cortesía de sully213 (Flickr) .
La pregunta
El lector de superusuario user3536548 quiere saber por qué hay un tiempo de respuesta más largo cuando se ingresa una contraseña incorrecta:
Cuando ingresas una contraseña y es correcta, el tiempo de respuesta es prácticamente instantáneo. Pero cuando ingresa una contraseña incorrecta (por accidente o habiendo olvidado la correcta), toma un tiempo (10-30 segundos) antes de que responda que la contraseña es incorrecta.
¿Por qué se tarda tanto (relativamente) en decir que la contraseña es incorrecta? Esto siempre me ha molestado al ingresar contraseñas incorrectas en sistemas Windows y Linux (regulares y basados en VM). No estoy seguro acerca de Mac OSX ya que no puedo recordar si es el mismo (ha pasado un tiempo desde la última vez que usé una Mac).
Estoy preguntando en el contexto de un usuario que inicia sesión en el sistema físicamente en la ubicación en lugar de a través de SSH, que posiblemente podría usar mecanismos algo diferentes para iniciar sesión (validar credenciales).
¿Por qué hay un tiempo de respuesta más largo cuando ingresa una contraseña incorrecta?
La respuesta
El colaborador de superusuario Michael Kjorling tiene la respuesta para nosotros:
¿Por qué se tarda tanto (relativamente) en decir que la contraseña es incorrecta?
No es asi. O más bien, la computadora no necesita más tiempo para determinar que su contraseña es incorrecta en comparación con la correcta. El trabajo que implica la computadora es, idealmente, exactamente el mismo. Cualquier esquema de verificación de contraseña que requiera una cantidad de tiempo diferente en función de si la contraseña es correcta o incorrecta puede explotarse para obtener conocimiento, por pequeño que sea, de la contraseña en menos tiempo de lo que sería de otra manera.
La demora es una demora artificial para hacer que intentar repetidamente obtener acceso utilizando diferentes contraseñas no sea factible, incluso si tiene alguna idea de cuál es la contraseña y el bloqueo automático de la cuenta está deshabilitado (lo que debería ser en la mayoría de los escenarios, ya que de otro modo lo permitiría una denegación de servicio trivial contra una cuenta arbitraria).
El término general para este comportamiento es alquitrán . Si bien el artículo de Wikipedia habla más sobre tarpitting de servicios de red, el concepto es genérico. Lo viejo y nuevo tampoco es una fuente oficial, pero el artículo " ¿Por qué se tarda más en rechazar una contraseña no válida que en aceptar una válida? ”Sí habla de esto (cerca del final del artículo).
¿Tiene algo que agregar a la explicación? Habla en los comentarios. ¿Quieres leer más respuestas de otros usuarios de Stack Exchange expertos en tecnología? Consulte el hilo de discusión completo aquí .
