Dlaczego dłuższe jest, aby komputer zareagował na nieprawidłowe hasło w porównaniu do poprawnego?
Czy zdarzyło Ci się przypadkiem wpisać nieprawidłowe hasło na swoim komputerze i zauważyłeś, że odpowiedź zajmuje kilka chwil w porównaniu do wpisania poprawnego hasła? Dlaczego? Dzisiejszy post z pytaniami i odpowiedziami dla SuperUser zawiera odpowiedź na ciekawe pytanie czytelnika.
Dzisiejsza sesja pytań i odpowiedzi przychodzi do nas dzięki uprzejmości SuperUser - poddziału Stack Exchange, opartego na społecznościach grupowania witryn z pytaniami i odpowiedziami.
Zdjęcie dzięki uprzejmości sully213 (Flickr).
Pytanie
Czytnik SuperUser user3536548 chce wiedzieć, dlaczego jest dłuższy czas odpowiedzi w przypadku wprowadzenia nieprawidłowego hasła:
Kiedy wprowadzasz hasło i jest ono poprawne, czas odpowiedzi jest praktycznie natychmiastowy. Ale kiedy wprowadzisz niepoprawne hasło (przez przypadek lub zapomniałeś tego właściwego), upłynie trochę czasu (10-30 sekund), zanim odpowie, że hasło jest nieprawidłowe.
Dlaczego tak długo (względnie) mówienie, że hasło jest nieprawidłowe? To zawsze mnie wkurzało podczas wprowadzania nieprawidłowych haseł w systemach Windows i Linux (regularne i oparte na VM). Nie mam pewności co do systemu Mac OSX, ponieważ nie pamiętam, czy jest on taki sam (minęło trochę czasu od ostatniego użycia komputera Mac).
Pytam w kontekście użytkownika logującego się do systemu fizycznie na miejscu, a nie przez SSH, który mógłby wykorzystywać nieco inne mechanizmy do logowania (sprawdzanie referencji).
Dlaczego jest dłuższy czas reakcji po wprowadzeniu nieprawidłowego hasła?
Odpowiedź
Współpracownik SuperUser Michael Kjorling ma dla nas odpowiedź:
Dlaczego tak długo (względnie) twierdzenie, że hasło jest nieprawidłowe??
To nie. A raczej nie wymaga od komputera, aby ustalić, że twoje hasło jest nieprawidłowe, w porównaniu do jego poprawności. Praca związana z komputerem jest idealnie taka sama. Każdy schemat weryfikacji haseł, który zajmuje inną ilość czasu w zależności od tego, czy hasło jest poprawne lub nieprawidłowe, może zostać wykorzystany do zdobycia wiedzy, jakkolwiek małej, hasła w krótszym czasie niż w innym przypadku.
Opóźnienie to sztuczne opóźnienie, aby wielokrotnie próbować uzyskać dostęp, używając różnych haseł, nieosiągalnych, nawet jeśli masz pojęcie o tym, jakie jest hasło, a automatyczne blokowanie kont jest wyłączone (które powinno być w większości scenariuszy, ponieważ w innym przypadku pozwoliłoby na to trywialna odmowa usługi na dowolne konto).
Ogólny termin określający to zachowanie polega na dłubaniu. Podczas gdy artykuł w Wikipedii mówi więcej o tarpowaniu usług sieciowych, pojęcie to ma charakter ogólny. Stara nowa rzecz nie jest także oficjalnym źródłem, ale artykuł "Dlaczego odrzucenie nieprawidłowego hasła trwa dłużej niż zaakceptowanie ważnego?" mówi o tym (pod koniec artykułu).
Czy masz coś do dodania do wyjaśnienia? Dźwięk w komentarzach. Chcesz przeczytać więcej odpowiedzi od innych użytkowników Stack Exchange, którzy znają się na technologii? Sprawdź cały wątek dyskusji tutaj.