Ați introdus vreodată parola greșită pe computerul dvs. din greșeală și ați observat că durează câteva momente pentru a răspunde în comparație cu introducerea celei corecte? De ce este asta? Postarea de astăzi a SuperUser Q&A are răspunsul la întrebarea unui cititor curios.
Sesiunea de Întrebări și Răspunsuri de astăzi ne vine prin amabilitatea SuperUser - o subdiviziune a Stack Exchange, un grup de site-uri web de întrebări și răspunsuri bazat pe comunitate.
Captură de ecran prin amabilitatea sully213 (Flickr) .
Intrebarea
Utilizatorul cititorului SuperUser3536548 vrea să știe de ce există un timp de răspuns mai mare atunci când este introdusă o parolă incorectă:
Când introduceți o parolă și aceasta este corectă, timpul de răspuns este practic instantaneu. Dar când introduceți o parolă incorectă (din întâmplare sau după ce ați uitat-o pe cea corectă), durează ceva timp (10-30 secunde) înainte de a răspunde că parola este incorectă.
De ce durează atât de mult (relativ) să spun că parola este incorectă? Acest lucru m-a bătut întotdeauna la introducerea parolelor incorecte pe sistemele Windows și Linux (obișnuite și bazate pe VM). Nu sunt sigur despre Mac OSX, deoarece nu-mi amintesc dacă este același lucru (a trecut ceva timp de când am folosit ultima dată un Mac).
Întreb în contextul unui utilizator care se conectează la sistem fizic la locație, mai degrabă decât prin SSH, care ar putea folosi, probabil, mecanisme oarecum diferite pentru a se conecta (valida acreditările).
De ce există un timp de răspuns mai mare când introduceți o parolă incorectă?
Răspunsul
Contribuitorul SuperUser Michael Kjorling are răspunsul pentru noi:
De ce durează atât de mult (relativ) să spun că parola este incorectă?
Aceasta nu. Sau mai bine zis, computerul nu durează mai mult pentru a determina dacă parola dvs. este incorectă, comparativ cu faptul că este corectă. Munca implicată pentru computer este, în mod ideal, exact aceeași. Orice schemă de verificare a parolei care durează o perioadă diferită de timp, în funcție de corectitudinea sau incorectitatea parolei, poate fi exploatată pentru a obține cunoștințe, oricât de mici, ale parolei în mai puțin timp decât ar fi altfel cazul.
Întârzierea este o întârziere artificială pentru a face imposibilă încercarea în mod repetat de a obține acces utilizând parole diferite, chiar dacă aveți o idee despre ce este parola și blocarea automată a contului este dezactivată (ceea ce ar trebui să fie în majoritatea scenariilor, așa cum ar permite altfel o banală negare a serviciului împotriva unui cont arbitrar).
Termenul general pentru acest comportament este prelată . În timp ce articolul de pe Wikipedia vorbește mai mult despre serviciile de rețea, conceptul este generic. Vechiul lucru nou nu este nici o sursă oficială, dar articolul „ De ce durează mai mult să respingi o parolă invalidă decât să accepți una validă? ”Vorbește despre asta (aproape de sfârșitul articolului).
Aveți ceva de adăugat la explicație? Sună în comentarii. Doriți să citiți mai multe răspunsuri de la alți utilizatori ai Stack Exchange? Consultați aici firul complet de discuție .
