Per què un ordinador triga més a respondre a una contrasenya incorrecta que a una correcta?

per què-triga-més-un-ordinador-a-respondre-a-una-contrasenya-incorrecta-en comparació-a-una-foto-correcta-1

Alguna vegada has introduït una contrasenya incorrecta al teu ordinador per accident i has notat que trigues uns quants moments a respondre en comparació amb introduir la correcta? Per què això? La publicació de preguntes i respostes de superusuari d'avui té la resposta a la pregunta d'un lector curiós.

La sessió de preguntes i respostes d'avui ens arriba per cortesia de SuperUser, una subdivisió de Stack Exchange, una agrupació de llocs web de preguntes i respostes impulsada per la comunitat.



Captura de pantalla cortesia de sully213 (Flickr).

La Pregunta

L'usuari lector de SuperUser3536548 vol saber per què hi ha un temps de resposta més llarg quan s'introdueix una contrasenya incorrecta:

Quan introduïu una contrasenya i és correcta, el temps de resposta és pràcticament instantani. Però quan introduïu una contrasenya incorrecta (per accident o havent oblidat la correcta), triga un temps (10-30 segons) abans que respongui que la contrasenya és incorrecta.

Per què es triga tant (relativament) a dir que la contrasenya és incorrecta? Això sempre m'ha molestat quan introduïa contrasenyes incorrectes en sistemes Windows i Linux (normals i basats en VM). No estic segur sobre Mac OSX, ja que no recordo si és el mateix (fa temps des que vaig utilitzar per última vegada un Mac).

Estic preguntant en el context d'un usuari que iniciï sessió al sistema físicament a la ubicació en lloc de mitjançant SSH, que podria utilitzar mecanismes una mica diferents per iniciar sessió (validar les credencials).

Per què hi ha un temps de resposta més llarg quan introduïu una contrasenya incorrecta?

La resposta

El col·laborador de SuperUser Michael Kjorling ens té la resposta:

Per què es triga tant (relativament) a dir que la contrasenya és incorrecta?

No ho fa. O més aviat, l'ordinador no necessita més temps per determinar que la vostra contrasenya és incorrecta en comparació amb la correcta. El treball que comporta l'ordinador és, idealment, exactament el mateix. Qualsevol esquema de verificació de contrasenya que triga un temps diferent segons si la contrasenya és correcta o incorrecta es pot aprofitar per obtenir coneixement, per petit que sigui, de la contrasenya en menys temps del que seria el cas.

El retard és un retard artificial per fer que intentar accedir repetidament mitjançant l'ús de contrasenyes diferents sigui inviable, fins i tot si teniu una idea de quina és la contrasenya i el bloqueig automàtic del compte està desactivat (que hauria de ser en la majoria dels escenaris, ja que d'altra manera ho permetria). una denegació trivial de servei contra un compte arbitrari).

El terme general per a aquest comportament és tarpitting. Tot i que l'article de la Viquipèdia parla més sobre el tarpitting del servei de xarxa, el concepte és genèric. The Old New Thing tampoc és una font oficial, però l'article Per què es triga més temps a rebutjar una contrasenya no vàlida que a acceptar-ne una de vàlida? parla d'això (a prop del final de l'article).