Warum dauert es so lange, bis der Computer mit einem „ungültigen Kennwort“ antwortet, wenn die Verwendung eines korrekten Kennworts fast augenblicklich erfolgt? [Duplikat]

10

Wenn Sie ein Passwort eingeben und es korrekt ist, erfolgt die Antwort praktisch sofort (dh der Anmeldevorgang).

Wenn Sie jedoch ein falsches Passwort eingeben (versehentlich, vergessen usw.), dauert es eine Weile (10 bis 30 Sekunden), bis darauf reagiert wird, dass das Passwort falsch war.

Warum dauert es so lange (relativ), "falsches Passwort" zu sagen?

Das hat mich immer daran gehindert, falsche Passwörter unter Windows und Linux (Real und VM) einzugeben. Ich bin mir bei Mac OSX nicht sicher, da ich mich nicht erinnern kann, ob es dasselbe ist. Es ist schon eine Weile her, seit ich das letzte Mal einen Mac verwendet habe.

BEARBEITEN: Aus Gründen der Duplizierung frage ich im Zusammenhang mit einem Benutzer, der sich am physischen Computer am System anmeldet, und nicht über ssh, das möglicherweise etwas andere Mechanismen zum Anmelden / Überprüfen von Anmeldeinformationen verwenden könnte.

linux windows passwords Thermatix
quelle
Die Gründe sind genau die gleichen wie beim Duplikat (SSH-Login).
Jens Erat
Sie sind nicht, der Kontext ist anders; Der andere Unterschied ist, dass die Antworten nicht so detailliert sind
Thermatix
Ich stimme dem OP zu. Die Fragen sind sicherlich verwandt, aber nicht gleich. Eine Antwort auf "Warum dauert es so lange, bis SSH auf einer Remoteverbindung" ungültiges Kennwort "sagt?" ist nicht unbedingt dasselbe wie eine Antwort auf "Warum dauert es so lange, bis die Windows-Anmeldung" ungültiges Kennwort "sagt, wenn ich an der Konsole bin?", obwohl sie wahrscheinlich ähnlich sind. Definitiv verwandt, zweifelhaft dupliziert.
Ein Lebenslauf
Für die Nachwelt lautet das vermeintliche Duplikat für den Fall, dass es erneut geöffnet wird: Warum sollte die Verarbeitung eines falschen Passwortversuchs viel länger dauern als ein korrekter? Beachten Sie jedoch, dass neben dem Titel nur eine Remote-SSH-Verbindung zu einem Linux-Host angegeben wird.
Ein Lebenslauf

Antworten:

17

Warum dauert es so lange (relativ), "falsches Passwort" zu sagen?

Das tut es nicht. Oder besser gesagt, es dauert nicht länger, bis der Computer feststellt, dass Ihr Passwort falsch ist, anstatt dass es korrekt ist. Die Arbeit für den Computer ist im Idealfall genau gleich. (Jedes Kennwortüberprüfungsschema, das je nach Richtigkeit oder Falschheit des Kennworts eine andere Zeit in Anspruch nimmt, kann ausgenutzt werden, um in kürzerer Zeit als sonst möglich Kenntnisse über das Kennwort zu erlangen.)

Die Verzögerung ist eine künstliche Verzögerung , die es unmöglich macht, wiederholt zu versuchen, mithilfe verschiedener Kennwörter Zugriff zu erhalten, selbst wenn Sie eine Vorstellung davon haben, wie das Kennwort wahrscheinlich ist, und die automatische Kontosperrung deaktiviert ist (was in den meisten Szenarien der Fall sein sollte, wie es sonst der Fall wäre eine geringfügige Dienstverweigerung gegen ein beliebiges Konto zulassen).

Der allgemeine Begriff für dieses Verhalten ist Tarpitting . Während der Wikipedia-Artikel mehr über das Tarpitting von Netzwerkdiensten spricht, ist das Konzept allgemein gehalten. The Old New Thing ist auch keine offizielle Quelle, aber warum dauert es länger, ein ungültiges Passwort abzulehnen, als ein gültiges zu akzeptieren? spricht darüber gegen Ende des Artikels.

ein CVn
quelle
Ich habe mich auch gefragt! Interessante Antwort. Ich wünschte, sie könnten die Verzögerung etwas verkürzen, da es ärgerlich ist, so lange zu warten, wenn Sie direkt nach dem Drücken der Eingabetaste feststellen, dass es falsch ist: P
Blaine
1
Dieser Schutz zielt hauptsächlich auf Skripte und automatisierte Brute-Force-Techniken ab und nicht auf interaktive Anmeldungen. Es gibt einige Gründe, warum Sie die Zeit nicht anpassen können, einschließlich der Tatsache, dass die Verzögerung in vielen Fällen zufällig ist (in der Größenordnung von Millisekunden). Es gibt eine Reihe von Kryptografieangriffen, die als Timing-Analyse bezeichnet werden und versuchen, anhand der Zeit, die zum Erstellen einer Fehlermeldung benötigt wurde, Kenntnisse über einen kryptografischen Schlüssel zu erlangen. eine zufällige Verzögerung besiegt das schön.
Frank Thomas
@FrankThomas Ich werde ohne weiteres zugeben, dass ich nicht angegeben habe, mit welchen Mitteln die wiederholten Versuche unternommen wurden. Trotzdem gibt es in vielen Sicherheitssystemen eine sehr reale und spürbare Verzögerung bei der Bereitstellung ungültiger Anmeldeinformationen, wodurch weitere Versuche für eine kurze, aber vom Menschen wahrnehmbare Zeitspanne verhindert werden. Da Sie zu diesem Zeitpunkt bereits interaktiv auf das System zugreifen, werden Timing-Angriffe auf Mikrosekunden- oder Millisekunden-Ebene auf die kryptografischen Grundelemente nicht wirklich angewendet.
Ein Lebenslauf
Ist das maßgeblich? Haben Sie einen Artikel oder etwas zum Nachschlagen?
Rfportilla
@rfportilla "Autorisierend"? Nein. OP fragt zunächst nach zwei oder drei völlig unterschiedlichen Betriebssystemen, von denen eines eine beliebige Anzahl von Anwendungen auf Systemebene (Anmeldemanager, Bildschirmschoner, ...) haben kann, die zur Eingabe von Kennwörtern auffordern, und die anderen beiden sind proprietär (Also kennen wir ihr Innenleben nicht). Es ist nicht möglich, eine maßgebliche Quelle für all dies bereitzustellen . Wenn die Frage gewesen wäre "Warum macht gdm3 das so?" dann wäre vielleicht eine tatsächlich maßgebliche Antwort möglich gewesen, aber das ist hier nicht der Fall.
Ein Lebenslauf