正しいパスワードを使用するとほぼ瞬時に応答するのに、コンピュータが「無効なパスワード」と応答するのになぜそんなに時間がかかるのでしょうか?

正しいパスワードを使用するとほぼ瞬時に応答するのに、コンピュータが「無効なパスワード」と応答するのになぜそんなに時間がかかるのでしょうか?

パスワードを入力し、それが正しい場合、応答はほぼ瞬時に返されます (つまり、ログオン プロセス)。

ただし、間違ったパスワードを入力した場合(誤って、忘れた場合など)、パスワードが間違っているという応答が表示されるまでにしばらく(10 ~ 30 秒)かかります。

「パスワードが間違っています」と言うのになぜ(比較的)そんなに時間がかかるのでしょうか?

これは、Windows と Linux (実機と VM) で間違ったパスワードを入力することで常に私を悩ませてきました。Mac OSX については、同じかどうか覚えていないのでわかりません。最後に Mac を使用したのは随分前です。

編集: 重複を避けるために、ログイン/資格情報の検証に多少異なるメカニズムを使用する可能性がある ssh 経由ではなく、物理コンピューターでシステムにログオンするユーザーのコンテキストで質問しています。

答え1

「パスワードが間違っています」と言うのになぜそんなに(比較的)時間がかかるのでしょうか?

それは違います。むしろ、パスワードが正しいかどうか判断するのと比べて、コンピュータがパスワードが間違っているかどうか判断するのにかかる時間は変わりません。コンピュータが行う作業は、理想的にはまったく同じです。(パスワードが正しいか間違っているかによって異なる時間がかかるパスワード検証方式は、たとえわずかでも、通常よりも短い時間でパスワードに関する情報を取得するために悪用される可能性があります。)

遅延は人為的な遅延パスワードが何であるかがわかっていても、異なるパスワードを使用して繰り返しアクセスを試みることを不可能にするそして自動アカウント ロックアウトは無効になっています (無効にしないと、任意のアカウントに対して軽微なサービス拒否攻撃が可能になるため、ほとんどのシナリオでは無効にする必要があります)。

この行動の一般的な用語はタールピットWikipedia の記事ではネットワーク サービス ターピットについて詳しく説明されていますが、その概念は一般的なものです。古くて新しいもの公式の情報源ではありませんが、有効なパスワードを受け入れるよりも、無効なパスワードを拒否するのに時間がかかるのはなぜですか?これについては記事の最後のほうで触れています。

関連情報