Warum dauert es so lange, bis der Computer mit „ungültiges Passwort“ antwortet, wenn die Eingabe eines korrekten Passworts nahezu augenblicklich erfolgt?

Warum dauert es so lange, bis der Computer mit „ungültiges Passwort“ antwortet, wenn die Eingabe eines korrekten Passworts nahezu augenblicklich erfolgt?

Wenn Sie ein korrektes Kennwort eingeben, erfolgt die Antwort praktisch augenblicklich (d. h. der Anmeldevorgang).

Wenn Sie jedoch ein falsches Passwort eingeben (aus Versehen, vergessen usw.), dauert es eine Weile (10–30 Sekunden), bis die Rückmeldung erfolgt, dass das Passwort falsch war.

Warum dauert es (relativ) so lange, „falsches Passwort“ zu sagen?

Das hat mich immer geärgert, wenn ich unter Windows und Linux (real und VM) falsche Passwörter eingegeben habe. Bei Mac OSX bin ich mir nicht sicher, da ich mich nicht erinnern kann, ob es dort genauso ist. Es ist schon eine Weile her, seit ich das letzte Mal einen Mac verwendet habe.

BEARBEITEN: Der Duplizierung halber frage ich im Kontext eines Benutzers, der sich am physischen Computer beim System anmeldet, und nicht über SSH, wo möglicherweise etwas andere Mechanismen zum Anmelden/Validieren der Anmeldeinformationen verwendet werden könnten.

Antwort1

Warum dauert es (relativ) so lange, „falsches Passwort“ zu sagen?

Das ist nicht der Fall.Oder besser gesagt: Der Computer braucht nicht länger, um festzustellen, ob Ihr Passwort falsch ist, als um festzustellen, ob es richtig ist. Der Aufwand für den Computer ist im Idealfall genau der gleiche. (Jedes Passwortüberprüfungsschema, das je nachdem, ob das Passwort richtig oder falsch ist, unterschiedlich lange dauert, kann ausgenutzt werden, um in kürzerer Zeit als sonst Erkenntnisse über das Passwort zu gewinnen, und sei es noch so wenig.)

Die Verzögerung isteine künstliche Verzögerungum wiederholte Zugriffsversuche mit unterschiedlichen Passwörtern unmöglich zu machen, selbst wenn Sie eine Vorstellung davon haben, wie das Passwort wahrscheinlich lautetUndDie automatische Kontosperrung ist deaktiviert (was in den meisten Fällen der Fall sein sollte, da sonst eine triviale Dienstverweigerung gegenüber einem beliebigen Konto möglich wäre).

Der allgemeine Begriff für dieses Verhalten istTeergrube. Während im Wikipedia-Artikel eher von Network Service Tarpitting die Rede ist, ist das Konzept allgemein gehalten.Das Alte Neueist auch keine offizielle Quelle, aberWarum dauert die Ablehnung eines ungültigen Passworts länger als die Annahme eines gültigen Passworts?wird gegen Ende des Artikels darüber gesprochen.

verwandte Informationen