¿por qué se necesita más tiempo para que un equipo de respuesta a una contraseña incorrecta frente a un correcto?

¿Alguna vez ha introducido la contraseña incorrecta en el ordenador por accidente y se dio cuenta que se necesita un momento para responder en comparación con entrar en la correcta? ¿Porqué es eso? de hoy superusuario Q & A anuncio con la respuesta a la pregunta de un lector curioso.

Pregunta y respuesta sesión de hoy nos llega por cortesía de superusuario, una subdivisión de Stack Exchange, una agrupación impulsado por la comunidad de Q & A sitios web.

Captura de pantalla de cortesía sully213 (Flickr).

lector de superusuario user3536548 quiere saber por qué hay un tiempo de respuesta más largo cuando se introduce una contraseña incorrecta

Cuando se introduce una contraseña y ésta sea correcta, el tiempo de respuesta es prácticamente instantánea. Pero cuando se introduce una contraseña incorrecta (por accidente o de haber olvidado la correcta), se necesita un tiempo (10-30 segundos) antes de que responde que la contraseña es incorrecta.

¿Por qué tarda tanto tiempo (relativamente) decir que la contraseña es incorrecta? Esto siempre me ha pinchado al introducir contraseñas incorrectas en los sistemas Windows y Linux (regulares y basados ​​en VM). No estoy seguro acerca de Mac OS X, ya que no recuerdo si es la misma (que ha pasado un tiempo desde la última vez que utilicé un Mac).

Estoy pidiendo en el contexto de un usuario que entra al sistema físicamente en el lugar y no a través de SSH, que podría concebiblemente utilizar algo diferentes mecanismos para conectarse (validar las credenciales).

¿Por qué hay un tiempo de respuesta más largo cuando se introduce una contraseña incorrecta?

Superusuario colaborador Michael Kjorling tiene la respuesta para nosotros

¿Por qué tarda tanto tiempo (relativamente) decir que la contraseña es incorrecta?

No es asi. O mejor dicho, no se necesita el equipo más tiempo para determinar que la contraseña es incorrecta con respecto a que es correcta. El trabajo necesario para el equipo es, idealmente, exactamente lo mismo. Cualquier esquema de verificación de la contraseña que toma una cantidad de tiempo diferente en función de si la contraseña es correcta o incorrecta puede ser explotado para obtener conocimiento, aunque sea pequeña, de la contraseña en menos tiempo de lo que sería el caso.

El retardo es un retardo artificial para hacer varias veces tratando de obtener acceso mediante el uso de diferentes contraseñas no factible, incluso si usted tiene una idea de cuál es la contraseña y bloqueo de cuentas automática está desactivada (que debería ser en la mayoría de los escenarios, ya que de lo contrario sería permitir una denegación de servicio contra trivial de una cuenta arbitraria).

El término general para este comportamiento se Tarpitting. Mientras que el artículo de Wikipedia habla más de tarpitting servicio de red, el concepto es genérico. La vieja nueva cosa no es una fuente oficial tampoco, pero el artículo “¿Por qué se necesita más tiempo para rechazar una contraseña no válida que aceptar una válida? “No hablar de esto (casi al final del artículo).

Si tiene algo que añadir a la explicación? En off en los comentarios. ¿Quieres leer más respuestas de otros usuarios Stack Exchange conocedores de la tecnología? Echa un vistazo a la rosca discusión completa aquí.

El mecanismo de autenticación de contraseña va de esta manera, cuando se introduce un passwordwindows hace estas cosas

1) Comprobar la caché contraseña para ver si es correcta, caso afirmativo retorno válidos (y usted está conectado) otra consulta El Controller2) Ahora se consulta el controlador de dominio para verificar la contraseña, lo cual lleva tiempo, ya que primero comprueba la caché entonces pregunta el controlador y luego también hay un retraso añadido para una contraseña incorrecta

Hay un retraso de contraseña incorrecta como si las ventanas vuelve contraseña incorrecta en 10 ms después de un diccionario de 75.000 palabras ataque tomaría aproximadamente 4 horas, mientras que si se tarda 5 segundos que tardaría unos 4 días. Lo que sería un dolor para el atacante.

Buena Se necesita algún tiempo

La temperatura del aire más fría jamás registrada en la Tierra fue -128.6 ° F en la Estación de Investigación Vostok, lago Vostok, en la Antártida el 21 de julio de 1983.