Kāpēc datoram ir nepieciešams ilgāk reaģēt uz nepareizu paroli?
Vai jūs kādreiz esat nejauši ievadījis nepareizu paroli datorā un ievērojis, ka, lai ievadītu pareizo versiju, ir nepieciešami daži mirkļi? Kāpēc ir tā, ka? Šodienas SuperUser Q&A ziņojumam ir atbilde uz ziņkārīga lasītāja jautājumu.
Šodienas jautājumu un atbilžu sesija mums dod pieklājību no SuperUser-Stack Exchange apakšnodaļas, kas ir kopienas orientēta Q & A tīmekļa vietņu grupa.
Ekrānuzņēmums pieklājīgs no sully213 (Flickr).
Jautājums
SuperUser lasītājs user3536548 vēlas uzzināt, kāpēc ir ievadīts ilgāks atbildes laiks, kad tiek ievadīta nepareiza parole:
Ievadot paroli un tas ir pareizs, reakcijas laiks ir praktiski tūlītējs. Bet, ievadot nepareizu paroli (nejauši vai esat aizmirsis pareizo), tas aizņem laiku (10-30 sekundes), pirms tā atbild, ka parole nav pareiza.
Kāpēc nepieciešams tik ilgi (salīdzinoši), ka parole ir nepareiza? Tas vienmēr ir kļūdījies, ievadot nepareizas paroles uz Windows un Linux sistēmām (regulāri un VM). Es neesmu pārliecināts par Mac OSX, jo es nevaru atcerēties, vai tas ir tas pats (tas ir bijis, kopš pēdējo reizi lietoju Mac).
Saistībā ar lietotāju, kas piesakās sistēmā fiziski, nevis pa SSH, es jautāju, ka, iespējams, varētu izmantot nedaudz atšķirīgus mehānismus, lai pieteiktos (apstiprinātu akreditācijas datus).
Kāpēc, ievadot nepareizu paroli, ir ilgāks atbildes laiks?
Atbilde
SuperUser ieguldītājam Michael Kjorling ir atbilde mums:
Kāpēc nepieciešams tik ilgi (salīdzinoši), ka parole ir nepareiza?
Tas nav. Drīzāk tas vairs nedod datoru, lai noteiktu, vai parole ir nepareiza, salīdzinot ar to, ka tā ir pareiza. Dators ir ideāli piemērots darbam. Jebkuru paroles verifikācijas shēmu, kas ņem atšķirīgu laiku, pamatojoties uz to, vai parole ir pareiza vai nepareiza, var izmantot, lai iegūtu mazāku informāciju par paroli mazāk laika, nekā tas būtu citādi..
Kavēšanās ir mākslīga aizkavēšanās, lai atkārtoti mēģinātu piekļūt, izmantojot dažādas neiespējamas paroles, pat ja jums ir kāda ideja par to, kas ir parole, un automātiskā konta bloķēšana ir atspējota (kas tai būtu jāparedz lielākajā daļā scenāriju, jo citādi tas ļautu nenozīmīgs pakalpojumu atteikums pret patvaļīgu kontu).
Vispārējais termins šādai uzvedībai ir starpsienas. Lai gan Wikipedia rakstā vairāk runāts par tīkla pakalpojumu starpniecību, koncepcija ir vispārēja. Vecā jaunā lieta arī nav oficiāls avots, bet raksts “Kāpēc noraidīt nederīgu paroli ir nepieciešams ilgāks laiks, nekā pieņemt derīgu?” runā par to (netālu no raksta beigām).
Vai kaut kas jāpievieno paskaidrojumam? Skaņas izslēgšana komentāros. Vai vēlaties lasīt vairāk atbildes no citiem tehnoloģiju gudriem Stack Exchange lietotājiem? Apskatiet pilnu diskusiju pavedienu šeit.