Miksi tietokoneelta kestää kauemmin vastata väärään salasanaan verrattuna oikeaan?

miksi-tietokoneen-vastaaminen-virheelliseen-salasanaan-vapaa-aika-pidempään-oikea-yhteen-kuva 1

Oletko koskaan syöttänyt väärän salasanan tietokoneellesi vahingossa ja huomannut, että vastaaminen kestää hetken verrattuna oikean salasanan syöttämiseen? Miksi niin? Tämän päivän SuperUser Q&A -viestissä on vastaus uteliaan lukijan kysymykseen.

Tämän päivän kysymys- ja vastausistunto saapuu meille SuperUserin ansiosta. Se on Stack Exchangen alajaosto, yhteisövetoinen Q&A-verkkosivustojen ryhmittely.



Kuvakaappaus sully213:n (Flickr) luvalla.

Kysymys

SuperUser-lukija user3536548 haluaa tietää, miksi väärän salasanan syöttämisessä on pidempi vasteaika:

Kun syötät salasanan ja se on oikein, vasteaika on käytännössä välitön. Mutta kun syötät väärän salasanan (vahingossa tai unohdat oikean), kestää hetken (10-30 sekuntia), ennen kuin se vastaa, että salasana on väärä.

Miksi kestää niin kauan (suhteellisesti) sanoa, että salasana on väärä? Tämä on aina häirinnyt minua syöttäessäni vääriä salasanoja Windows- ja Linux-järjestelmissä (tavallinen ja VM-pohjainen). En ole varma Mac OSX:stä, koska en muista, onko se sama (on kulunut jonkin aikaa siitä, kun viimeksi käytin Macia).

Kysyn siltä osin kuin käyttäjä kirjautuu järjestelmään fyysisesti paikan päällä eikä SSH:n kautta, joka voisi mahdollisesti käyttää hieman erilaisia ​​mekanismeja sisäänkirjautumiseen (tarkistaa valtuustiedot).

Miksi vastausaika on pidempi, kun kirjoitat väärän salasanan?

Vastaus

SuperUser-avustaja Michael Kjorlingilla on vastaus meille:

Miksi kestää niin kauan (suhteellisesti) sanoa, että salasana on väärä?

Se ei. Tai pikemminkin, tietokoneelta ei kestä kauemmin määrittää, että salasanasi on virheellinen, verrattuna siihen, että se on oikea. Tietokoneen työ on ihannetapauksessa täsmälleen sama. Mitä tahansa salasanan varmennusjärjestelmää, joka vie eri ajan sen mukaan, onko salasana oikea vai väärä, voidaan hyödyntää salasanan tuntemuksen saamiseksi, vaikka kuinka vähän tahansa, lyhyemmässä ajassa kuin muuten.

Viive on keinotekoinen viive, joka tekee toistuvasta pääsyn yrittämisestä eri salasanoilla mahdotonta, vaikka sinulla olisi jonkinlainen käsitys salasanasta ja automaattinen tilin lukitus on poistettu käytöstä (mikä sen pitäisi olla useimmissa skenaarioissa, koska se muutoin sallisi vähäpätöinen palvelun epääminen mielivaltaista tiliä vastaan).

Yleinen termi tälle käytökselle on tarpitting. Vaikka Wikipedia-artikkeli puhuu enemmän verkkopalveluiden käyttämisestä, käsite on yleinen. The Old New Thing ei myöskään ole virallinen lähde, mutta artikkeli Miksi virheellisen salasanan hylkääminen kestää kauemmin kuin kelvollisen salasanan hyväksyminen? puhuu tästä (lähellä artikkelin loppua).