19Jul
¿Alguna vez ha ingresado la contraseña incorrecta en su computadora por accidente y notó que toma unos minutos responder en comparación con ingresar la correcta?¿Porqué es eso? La publicación SuperUser Q & A de hoy tiene la respuesta a la pregunta de un lector curioso.
Pregunta de hoy &La sesión de respuesta nos llega por cortesía de SuperUser, una subdivisión de Stack Exchange, una agrupación de sitios web Q & A dirigida por la comunidad. Captura de pantalla de
cortesía de sully213( Flickr).
El usuario de la Pregunta
SuperUser user3536548 desea saber por qué hay un tiempo de respuesta más largo cuando se ingresa una contraseña incorrecta:
Cuando ingresa una contraseña y es correcta, el tiempo de respuesta es prácticamente instantáneo. Pero cuando ingresas una contraseña incorrecta( por accidente o habiendo olvidado la correcta), tarda un tiempo( 10-30 segundos) antes de que responda que la contraseña es incorrecta.
¿Por qué tarda tanto( relativamente) decir que la contraseña es incorrecta? Esto siempre me ha molestado al ingresar contraseñas incorrectas en sistemas Windows y Linux( regulares y basados en VM).No estoy seguro acerca de Mac OSX ya que no puedo recordar si es el mismo( ha pasado un tiempo desde la última vez que utilicé una Mac).
Pregunto en el contexto de un usuario que inicia sesión en el sistema físicamente en la ubicación en lugar de a través de SSH, lo que posiblemente podría utilizar mecanismos algo diferentes para iniciar sesión( validar las credenciales).
¿Por qué hay un tiempo de respuesta más largo cuando ingresas una contraseña incorrecta?
La respuesta
SuperUser contribuidor Michael Kjorling tiene la respuesta para nosotros:
¿Por qué tarda tanto( relativamente) decir que la contraseña es incorrecta?
No. O más bien, ya no le lleva más tiempo a la computadora determinar que su contraseña es incorrecta en comparación con la correcta. El trabajo involucrado para la computadora es, idealmente, exactamente el mismo. Cualquier esquema de verificación de contraseña que tome una cantidad de tiempo diferente en función de si la contraseña es correcta o incorrecta puede aprovecharse para obtener conocimiento, aunque sea pequeño, de la contraseña en menos tiempo de lo que sería el caso.
La demora es una demora artificial para intentar obtener acceso de manera repetida mediante el uso de diferentes contraseñas no factibles, incluso si tiene alguna idea de cuál es la contraseña y está desactivado el bloqueo automático de cuenta( que debería ser en la mayoría de los escenarios, ya que de lo contrario permitiríapor una denegación de servicio trivial contra una cuenta arbitraria).
El término general para este comportamiento es tarpitting. Mientras que el artículo de Wikipedia habla más sobre el servicio de red tarpitting, el concepto es genérico. El de Old New Thing tampoco es una fuente oficial, pero el artículo "¿Por qué demora más rechazar una contraseña inválida que aceptar una válida?" Habla de esto( cerca del final del artículo).
¿Tiene algo que agregar a la explicación? Suena apagado en los comentarios.¿Desea leer más respuestas de otros usuarios de Stack Exchange expertos en tecnología? Mira el hilo de discusión completo aquí.