19Jul
Haben Sie jemals versehentlich ein falsches Passwort auf Ihrem Computer eingegeben und festgestellt, dass es einige Sekunden dauert, bis Sie das richtige Passwort eingegeben haben? Warum das? Der heutige SuperUser Q & A Post hat die Antwort auf die Frage eines neugierigen Lesers.
Die heutige Frage &Die Antwortsitzung kommt dank SuperUser, einer Unterteilung von Stack Exchange, einer Community-gesteuerten Gruppierung von Q & A-Websites, zu uns.
Screenshot mit freundlicher Genehmigung von sully213( Flickr).
Die Frage
SuperUser reader user3536548 möchte wissen, warum es eine längere Antwortzeit gibt, wenn ein falsches Passwort eingegeben wird:
Wenn Sie ein Passwort eingeben und es korrekt ist, ist die Antwortzeit praktisch sofort. Wenn Sie jedoch versehentlich ein falsches Passwort eingeben oder das korrekte Passwort vergessen haben, dauert es eine Weile( 10-30 Sekunden), bis das falsche Passwort eingegeben wird.
Warum dauert es so lange( relativ) zu sagen, dass das Passwort falsch ist? Dies hat mich immer bei der Eingabe falscher Passwörter auf Windows- und Linux-Systemen( regulär und VM-basiert) gestört. Ich bin mir nicht sicher über Mac OSX, da ich mich nicht erinnern kann, ob es das gleiche ist( es ist eine Weile her, seit ich zum letzten Mal einen Mac benutzt habe).
Ich frage im Kontext eines Benutzers, der sich physisch vor Ort am System anmeldet, anstatt über SSH, was möglicherweise etwas andere Mechanismen zur Anmeldung( Validierung von Anmeldeinformationen) verwenden könnte.
Warum gibt es eine längere Antwortzeit, wenn Sie ein falsches Passwort eingeben?
Antwort Antwort
SuperUser Mitwirkende Michael Kjorling hat die Antwort für uns:
Warum dauert es so lange( relativ) zu sagen, dass das Passwort falsch ist?
Tut es nicht. Oder es dauert nicht länger, bis der Computer feststellt, dass Ihr Passwort falsch ist, verglichen damit, dass es korrekt ist. Die Arbeit für den Computer ist im Idealfall genau gleich. Jedes Passwortverifizierungsschema, das eine unterschiedliche Zeit benötigt, abhängig davon, ob das Passwort korrekt oder falsch ist, kann ausgenutzt werden, um Wissen, wie klein auch immer, des Passwortes in kürzerer Zeit zu erlangen, als es sonst der Fall wäre.
Die Verzögerung ist eine künstliche Verzögerung, die wiederholt versucht, Zugang zu erhalten, indem verschiedene Passwörter nicht durchführbar sind, auch wenn Sie eine Vorstellung davon haben, wie das Passwort lautet und die automatische Kontosperrung deaktiviert ist( was in den meisten Szenarien so sein sollte, wie es sonst möglich wäre)für eine triviale Dienstverweigerung gegen einen beliebigen Account).
Der allgemeine Ausdruck für dieses Verhalten ist Tarpitting. Während der Wikipedia-Artikel mehr über das Tarpen von Netzwerkdiensten spricht, ist das Konzept generisch. Die alte neue Sache ist auch keine offizielle Quelle, aber der Artikel "Warum dauert es länger, ein ungültiges Passwort abzulehnen, als ein gültiges zu akzeptieren?" Spricht darüber( am Ende des Artikels).
Haben Sie etwas zur Erklärung hinzuzufügen? Ton in den Kommentaren ab. Möchten Sie mehr Antworten von anderen technisch versierten Stack Exchange Benutzern lesen? Sehen Sie sich den vollständigen Diskussionsfaden hier an.