19Jul
Hebt u ooit per ongeluk het verkeerde wachtwoord op uw computer ingevoerd en hebt u gemerkt dat het enkele ogenblikken duurt om te antwoorden in vergelijking met het invoeren van de juiste? Waarom is dat? De SuperUser van vandaag Q & Een bericht heeft het antwoord op de vraag van een nieuwsgierige lezer.
De vraag van vandaag &Antwoord sessie komt naar ons met dank aan SuperUser-een onderverdeling van Stack Exchange, een community-gestuurde groepering van Q & A-websites.
Screenshot met dank aan sully213( Flickr).
De vraag
SuperUser-lezer user3536548 wil weten waarom er een langere reactietijd is wanneer een onjuist wachtwoord wordt ingevoerd:
Wanneer u een wachtwoord invoert en het klopt, is de responstijd vrijwel onmiddellijk. Maar wanneer u een verkeerd wachtwoord invoert( per ongeluk of nadat u de juiste hebt vergeten), duurt het een tijdje( 10-30 seconden) voordat het antwoordt dat het wachtwoord onjuist is.
Waarom duurt het zo lang( relatief) om te zeggen dat het wachtwoord onjuist is? Dit heeft me altijd lastig gevallen bij het invoeren van onjuiste wachtwoorden op Windows- en Linux-systemen( standaard en VM-gebaseerd).Ik ben niet zeker van Mac OSX omdat ik me niet kan herinneren of het hetzelfde is( het is al een tijdje geleden dat ik voor het laatst een Mac gebruikte).
Ik vraag in de context van een gebruiker die fysiek op locatie inlogt op het systeem in plaats van via SSH, die mogelijk enigszins andere mechanismen zou kunnen gebruiken om in te loggen( referenties valideren).
Waarom is er een langere reactietijd als u een onjuist wachtwoord invoert?
Het antwoord
SuperUser-bijdrager Michael Kjorling heeft het antwoord voor ons:
Waarom duurt het zo lang( relatief) om te zeggen dat het wachtwoord onjuist is?
Dat doet het niet. Of liever, het duurt niet langer voordat de computer heeft vastgesteld dat uw wachtwoord onjuist is in vergelijking met dat het juist is. Het werk voor de computer is idealiter precies hetzelfde. Elk wachtwoordverificatieschema dat een andere hoeveelheid tijd in beslag neemt op basis van het feit of het wachtwoord juist of incorrect is, kan worden misbruikt om kennis te verkrijgen, hoe klein ook, van het wachtwoord in minder tijd dan anders het geval zou zijn.
De vertraging is een kunstmatige vertraging om herhaaldelijk proberen toegang te krijgen door verschillende wachtwoorden onhaalbaar te gebruiken, zelfs als je een idee hebt van wat het wachtwoord is en automatische vergrendeling van accounts is uitgeschakeld( wat het in de meeste scenario's zou moeten zijn omdat het anders zou toestaanvoor een triviale denial of service tegen een willekeurige account).
De algemene term voor dit gedrag is tarpitting. Terwijl in het Wikipedia-artikel meer wordt gesproken over het tarpteren van netwerkdiensten, is het concept generiek. Het oude nieuwe ding is ook geen officiële bron, maar het artikel "Waarom duurt het langer om een ongeldig wachtwoord te weigeren dan om een geldig wachtwoord te accepteren?" Zegt hierover( aan het einde van het artikel).
Heeft u iets toe te voegen aan de uitleg? Geluid uit in de reacties. Wilt u meer antwoorden van andere technisch onderlegde Stack Exchange-gebruikers lezen? Bekijk de volledige discussiethread hier.
