19Jul
Avez-vous déjà saisi un mauvais mot de passe sur votre ordinateur par accident et remarqué qu'il faut quelques instants pour répondre par rapport à la bonne? Pourquoi donc? Le SuperUser Q & A d'aujourd'hui a la réponse à la question d'un lecteur curieux.
Question d'aujourd'hui &La session de réponse nous est offerte par SuperUser, une subdivision de Stack Exchange, un regroupement communautaire de sites Web Q & A.
Image reproduite avec la permission de sully213( Flickr).
La question
SuperUser lecteur user3536548 veut savoir pourquoi il y a un temps de réponse plus long quand un mot de passe incorrect est entré:
Lorsque vous entrez un mot de passe et qu'il est correct, le temps de réponse est pratiquement instantané.Mais quand vous entrez un mot de passe incorrect( par accident ou en ayant oublié le bon), il faut un certain temps( 10-30 secondes) avant de répondre que le mot de passe est incorrect.
Pourquoi est-ce si long( relativement) de dire que le mot de passe est incorrect? Cela m'a toujours dérangé lors de la saisie de mots de passe incorrects sur les systèmes Windows et Linux( standard et VM).Je ne suis pas sûr de Mac OSX car je ne me souviens pas si c'est la même chose( cela fait longtemps que je n'utilise pas de Mac).
Je demande dans le contexte d'un utilisateur se connectant au système physiquement sur place plutôt que via SSH qui pourrait utiliser des mécanismes quelque peu différents pour se connecter( valider les informations d'identification).
Pourquoi y-a-t-il un temps de réponse plus long lorsque vous entrez un mot de passe incorrect?
La réponse
SuperUser contributeur Michael Kjorling a la réponse pour nous:
Pourquoi faut-il si longtemps( relativement) pour dire que le mot de passe est incorrect?
Ce n'est pas le cas. Ou plutôt, il ne prend plus l'ordinateur pour déterminer que votre mot de passe est incorrect par rapport à ce qu'il est correct. Le travail impliqué pour l'ordinateur est, idéalement, exactement le même. Tout schéma de vérification de mot de passe qui prend un temps différent selon que le mot de passe est correct ou incorrect peut être exploité pour acquérir la connaissance, même minime, du mot de passe en moins de temps que ce ne serait autrement le cas.
Le délai est un délai artificiel pour essayer d'accéder à plusieurs reprises en utilisant différents mots de passe, même si vous avez une idée du mot de passe et que le verrouillage automatique du compte est désactivé( ce qui devrait être le cas dans la plupart des caspour un déni de service trivial contre un compte arbitraire).
Le terme général pour ce comportement est tarpitting. Alors que l'article de Wikipédia parle plus de tarpitting de service réseau, le concept est générique. L'ancienne nouvelle chose n'est pas non plus une source officielle, mais l'article "Pourquoi est-ce que cela prend plus de temps à rejeter un mot de passe invalide que d'en accepter un valide?" En parle( vers la fin de l'article).
Avoir quelque chose à ajouter à l'explication? Sonnez dans les commentaires. Vous voulez lire plus de réponses d'autres utilisateurs de Stack Exchange? Découvrez le fil de discussion complet ici.