Dlaczego tak długo trwa odpowiedź komputera „niepoprawnym hasłem”, gdy prawidłowe hasło jest prawie natychmiastowe? [duplikować]

10

To pytanie ma już odpowiedź tutaj:

Po wprowadzeniu poprawnego hasła odpowiedź jest praktycznie natychmiastowa (tzn. Proces logowania).

Jednak po wprowadzeniu niepoprawnego hasła (przypadkowo, zapomnianego itp.) Może minąć trochę czasu (10–30 sekund), zanim odpowie, że hasło było nieprawidłowe.

Dlaczego powiedzenie „niepoprawnego hasła” zajmuje tyle czasu?

To zawsze przeszkadzało mi w wprowadzaniu niepoprawnych haseł w systemie Windows i Linux (rzeczywistym i maszynie wirtualnej); Nie jestem pewien Mac OSX, ponieważ nie pamiętam, czy to jest to samo, minęło trochę czasu, odkąd ostatnio używałem Maca.

EDYCJA: ze względu na powielanie, pytam w kontekście użytkownika logującego się do systemu na fizycznym komputerze, a nie przez ssh, który mógłby użyć nieco innych mechanizmów do logowania / sprawdzania danych uwierzytelniających.

linux windows passwords Thermatix
źródło
Powody są dokładnie takie same jak w przypadku duplikatu (logowanie SSH).
Jens Erat
Nie są, kontekst jest inny; druga różnica polega na tym, że udzielone odpowiedzi nie są tak szczegółowe
Thermatix
Zgadzam się z PO. Pytania są z pewnością powiązane, ale nie takie same. Odpowiedź na „dlaczego SSH tak długo mówi„ nieprawidłowe hasło ”na zdalnym połączeniu?” niekoniecznie jest tym samym, co odpowiedź na pytanie „dlaczego tak długo trwa zalogowanie się do systemu Windows, aby powiedzieć„ nieprawidłowe hasło ”, gdy jestem przy konsoli?”, chociaż prawdopodobnie są one podobne. Zdecydowanie spokrewnione, wątpliwe duplikaty.
CVn
W przypadku potomności, na wypadek, gdyby został on ponownie otwarty, przypuszczalnym duplikatem jest Dlaczego próba niepoprawnego hasła zajęłaby znacznie więcej czasu niż poprawna? , ale zauważ, że poza tytułem jedynym podanym konkretnym przykładem jest zdalne połączenie SSH z hostem Linux.
CVn

Odpowiedzi:

17

Dlaczego powiedzenie „niepoprawnego hasła” zajmuje tyle czasu?

Nie ma A raczej nie zajmuje już komputerowi stwierdzenie, że twoje hasło jest nieprawidłowe w porównaniu do poprawności. Praca związana z komputerem jest idealnie dokładnie taka sama. (Każdy schemat weryfikacji hasła, który zajmuje inny czas w zależności od tego, czy hasło jest poprawne czy niepoprawne, może zostać wykorzystany do zdobycia wiedzy na temat hasła, nawet niewielkiego, w krótszym czasie niż byłoby to możliwe).

Opóźnienie to sztuczne opóźnienie polegające na tym, że wielokrotne próby uzyskania dostępu przy użyciu różnych haseł są niewykonalne, nawet jeśli masz pojęcie o tym, jakie hasło jest prawdopodobne i automatyczne blokowanie konta jest wyłączone (co powinno być w większości scenariuszy, tak jak w innym przypadku pozwalają na trywialną odmowę usługi na dowolnym koncie).

Ogólnym terminem tego zachowania jest plandeka . Podczas gdy artykuł w Wikipedii mówi więcej o tarowaniu sieci, koncepcja jest ogólna. Old New Thing też nie jest oficjalnym źródłem, ale dlaczego odrzucenie nieprawidłowego hasła zajmuje więcej czasu niż zaakceptowanie prawidłowego? mówi o tym pod koniec artykułu.

CVn
źródło
Też się zastanawiam! Ciekawa odpowiedź. Chciałbym, aby opóźnienie było nieco krótsze, ponieważ denerwujące jest czekać tak długo, gdy zaraz po naciśnięciu klawisza Enter uświadomisz sobie, że to źle: P
Blaine
1
Ta ochrona jest w dużej mierze ukierunkowana na skrypty i techniki automatycznej brutalnej siły, a nie na interaktywne logowanie. Istnieje kilka powodów, dla których nie można dostosować czasu, w tym, że w wielu przypadkach opóźnienie jest losowe (rzędu milisekund). istnieje zestaw ataków kryptografii zwanych analizą synchronizacji, która próbuje uzyskać wiedzę na temat klucza kryptograficznego na podstawie tego, ile czasu zajęło wygenerowanie komunikatu o błędzie. losowe opóźnienie to ładnie pokonuje.
Frank Thomas
@FrankThomas Z łatwością przyznam, że nie podałem środków, za pomocą których podejmowane były wielokrotne próby. To powiedziawszy, istnieje bardzo realne i zauważalne opóźnienie w wielu systemach bezpieczeństwa po dostarczeniu nieprawidłowych danych uwierzytelniających, co uniemożliwia dalsze próby przez pewien krótki, ale zrozumiały dla człowieka okres czasu. Ponieważ w tym momencie już uzyskujesz dostęp do systemu interaktywnie, ataki taktowania na poziomie mikrosekund lub milisekund na prymitywy kryptograficzne tak naprawdę nie mają zastosowania.
CVn
Czy to jest wiarygodne? Czy masz artykuł lub coś do odniesienia?
rfportilla
@rfportilla „Autorytatywny”? Nie. OP pyta o dwa lub trzy zupełnie różne systemy operacyjne, na początek, z których jeden może mieć dowolną liczbę aplikacji na poziomie systemu (menedżer logowania, wygaszacz ekranu, ...) monitujących o hasła, a pozostałe dwa są zastrzeżone. (więc nie znamy ich wewnętrznego działania). Nie można podać wiarygodnego źródła obejmującego to wszystko. Jeśli pytanie brzmiało „dlaczego gdm3 robi to w ten sposób?” wówczas rzeczywiście wiarygodna odpowiedź mogłaby być możliwa, ale tutaj tak nie jest.
CVn