Ви коли-небудь випадково вводили неправильний пароль на своєму комп’ютері і помічали, що для реагування потрібно кілька хвилин порівняно з правильним? Чому так? Сьогоднішня публікація запитань SuperUser містить відповідь на цікаве запитання читача.
Сьогоднішня сесія запитань і відповідей надійшла до нас люб’язно від SuperUser - підрозділу Stack Exchange, угруповання веб-сайтів із питань та відповідей на основі спільноти.
Знімок екрану надано sully213 (Flickr) .
Питання
Користувач читача SuperUser3536548 хоче знати, чому довший час відгуку при введенні неправильного пароля:
Коли ви вводите пароль і він правильний, час відгуку практично миттєвий. Але коли ви вводите неправильний пароль (випадково або забувши правильний), пройде деякий час (10-30 секунд), перш ніж він відповість, що пароль неправильний.
Чому так довго (відносно) потрібно стверджувати, що пароль неправильний? Мене це завжди хвилювало при введенні неправильних паролів у системах Windows та Linux (звичайні та на основі VM). Я не впевнений у Mac OSX, оскільки не пам’ятаю, чи однаковий (минув деякий час, коли я востаннє використовував Mac).
Я запитую в контексті входу користувача до системи фізично за місцем розташування, а не через SSH, який, можливо, може використовувати дещо інші механізми для входу (перевірка облікових даних).
Чому довший час відповіді при введенні неправильного пароля?
Відповідь
Співробітник SuperUser Майкл Кьорлінг має для нас відповідь:
Чому так довго (відносно) потрібно стверджувати, що пароль неправильний?
Це не. Вірніше, комп’ютеру не потрібно більше часу, щоб визначити, що ваш пароль неправильний порівняно з правильним. Робота за комп’ютером в ідеалі абсолютно однакова. Будь-яку схему перевірки пароля, яка займає різну кількість часу, залежно від того, правильний чи неправильний, можна використати, щоб отримати знання, хоч і незначні, про пароль за менший час, ніж це було б інакше.
Затримка - це штучна затримка, через яку неодноразові спроби отримати доступ за допомогою різних паролів є неможливими, навіть якщо ви уявляєте, що таке пароль, а автоматичне блокування облікового запису вимкнено (що повинно бути в більшості сценаріїв, оскільки в іншому випадку це дозволяло б тривіальна відмова в обслуговуванні за довільним рахунком).
Загальний термін такої поведінки: брезентування . Хоча стаття Вікіпедії розповідає більше про розкриття мережевих служб, концепція є загальною. Стара нова річ також не є офіційним джерелом, але стаття “ Чому відхилення недійсного пароля займає більше часу, ніж прийняття дійсного? ”Говорить про це (ближче до кінця статті).
Є що додати до пояснення? Звук у коментарях. Хочете прочитати більше відповідей від інших досвідчених користувачів Stack Exchange? Ознайомтесь із повним обговоренням тут .
