Чому комп'ютер відповідає так "недійсним паролем", коли використання правильного пароля є майже миттєвим? [дублікат]

Коли ви вводите правильний пароль, відповідь практично миттєва (тобто процес входу в систему).

Коли ви вводите невірний пароль (випадково, забутий тощо), потрібно пройти певний час (10-30 секунд), перш ніж він відповість, що пароль був неправильним.

Чому так довго (відносно) потрібно сказати "неправильний пароль"?

Це завжди мене заважало вводити неправильні паролі в Windows та Linux (реальні та VM); Я не впевнений у Mac OSX, тому що не можу згадати, чи це те саме, пройшло деякий час, коли я востаннє використовував Mac.

EDIT: заради дублювання я запитую в контексті користувача, який увійшов до системи на фізичному комп’ютері, а не через ssh, який міг би використовувати дещо інші механізми для входу / перевірки облікових даних.

linux windows passwords

— Терматикс
джерело

Причини - абсолютно однакові , порівняно з дублікатами (вхід SSH).

— Єнс Ерат

Вони ні, контекст інший; інша відмінність полягає в тому, що надані відповіді не такі детальні

— Thermatix

Я згоден з ОП. Питання, безумовно, пов'язані, але не однакові. Відповідь на те, "чому SSH так довго забирає" недійсний пароль "на віддаленому з’єднанні?" це не обов'язково збігається з відповіддю на питання "чому ввійти в Windows так довго, щоб сказати" недійсний пароль ", коли я перебуваю за консоллю?", хоча вони, ймовірно, будуть схожі. Однозначно споріднені, сумнівно, копії.

— CVn

Що стосується нащадків, на всякий випадок, коли це повторно відкриється, передбачуваний дублікат: Чому неправильна спроба пароля обробляє набагато більше часу, ніж правильна? , але зауважте, що крім заголовка, єдиним конкретним прикладом є віддалене підключення SSH до хоста Linux.

— CVn

Чому так довго (відносно) потрібно сказати "неправильний пароль"?

Це не так. А точніше, комп'ютер більше не потребує, щоб визначити, що ваш пароль неправильний порівняно з правильним. Робота за комп’ютером в ідеалі абсолютно однакова. (Будь-яка схема підтвердження пароля, яка займає інший проміжок часу, залежно від того, правильний чи неправильний пароль, може бути використана для отримання знань, хоча і невеликих, про пароль за менший час, ніж це було б інакше.)

Затримка - це штучна затримка, яка робить неодноразові спроби отримати доступ за допомогою різних паролів нездійсненно, навіть якщо ви маєте уявлення про те, що можливий пароль, і автоматичне блокування облікового запису вимкнено (що це повинно бути в більшості сценаріїв, як інакше допускати тривіальну відмову в сервісі проти довільного рахунку).

Загальним терміном такої поведінки є тарпітування . Хоча стаття у Вікіпедії детальніше розповідає про мережевий сервіс, концепція є загальною. Стара Нова річ теж не є офіційним джерелом, але чому відхилення недійсного пароля займає більше часу, ніж прийняття дійсного? чи говорить про це наприкінці статті.

— CVn
джерело

Мені це теж цікаво! Цікава відповідь. Я хотів би, щоб вони могли зробити затримку трохи коротшою, тому що прикро чекати так довго, коли зрозумієш, що відразу після натискання клавіші введіть, що це неправильно: P

— Блейн

Цей захист значною мірою орієнтований на сценарії та автоматизовані методи грубої сили, а не на інтерактивні входи. Є кілька причин, за якими ви не можете налаштувати час, в тому числі, у багатьох випадках затримка є випадковою (порядку мілісекунд). існує набір атак криптографії, що називається Timing Analysis, який намагається отримати знання про криптографічний ключ залежно від того, скільки часу знадобилося для створення повідомлення про помилку. випадкова затримка перемагає це гарно.

— Френк Томас

@FrankThomas Я легко визнаю, що я не заявив про засоби, за допомогою яких робилися неодноразові спроби. Однак, у багатьох системах безпеки існує реальна і помітна затримка щодо надання недійсних даних, що запобігає подальшим спробам на деякий короткий, але сприйнятний людиною кількість часу. Оскільки в цей момент ви вже отримуєте доступ до системи в інтерактивному режимі, атаки синхронізації на мікросекундах або мілісекундах на криптографічні примітиви насправді не застосовуються.

— CVn

Це авторитетно? У вас є стаття чи щось для посилання?

— rfportilla

@rfportilla "Авторитетний"? Ні. ОП запитує про дві-три абсолютно різні операційні системи, для початку одна з яких може мати будь-яку кількість програм на рівні системи (менеджер входу, заставка, ...) із запитом на отримання паролів, а інші два - власні (тому ми не знаємо їхньої внутрішньої роботи). Неможливо надати авторитетного джерела, що висвітлює все це. Якщо питання було "чому gdm3 робить це так?" тоді справді авторитетна відповідь могла бути можливою, але це не так.

— CVn