Cuando ingresa una contraseña y es correcta, la respuesta es prácticamente instantánea (es decir, el proceso de inicio de sesión).
Sin embargo, cuando ingresa una contraseña incorrecta (accidentalmente, olvidada, etc.), pasa un tiempo (entre 10 y 30 segundos) antes de que responda que la contraseña era incorrecta.
¿Por qué se tarda tanto (relativamente) en decir "contraseña incorrecta"?
Esto siempre me ha molestado por ingresar contraseñas incorrectas en Windows y Linux (real y VM); No estoy seguro acerca de Mac OSX porque no recuerdo si es lo mismo; ha pasado un tiempo desde la última vez que usé una Mac.
EDITAR: en aras de la duplicación, lo pregunto en el contexto de un usuario que inicia sesión en el sistema en la computadora física en lugar de a través de ssh, lo que posiblemente podría usar mecanismos algo diferentes para iniciar sesión/validar credenciales.
Respuesta1
¿Por qué se tarda tanto (relativamente) en decir "contraseña incorrecta"?
No es así.O mejor dicho, a la computadora no le toma más tiempo determinar que su contraseña es incorrecta en comparación con si es correcta. Lo ideal es que el trabajo que supone para el ordenador sea exactamente el mismo. (Cualquier esquema de verificación de contraseña que requiera una cantidad de tiempo diferente según si la contraseña es correcta o incorrecta puede aprovecharse para obtener conocimiento, por pequeño que sea, de la contraseña en menos tiempo del que sería el caso de otra manera).
El retraso esun retraso artificialpara hacer que intentar repetidamente obtener acceso utilizando diferentes contraseñas sea inviable, incluso si tiene alguna idea de cuál es la contraseña probableyel bloqueo automático de cuentas está deshabilitado (lo que debería estar en la mayoría de los escenarios, ya que de lo contrario permitiría una denegación trivial de servicio contra una cuenta arbitraria).
El término general para este comportamiento estarpitear. Si bien el artículo de Wikipedia habla más sobre el tarpitting de servicios de red, el concepto es genérico.Lo viejo y nuevoTampoco es una fuente oficial, pero¿Por qué se tarda más en rechazar una contraseña no válida que en aceptar una válida?Habla de esto cerca del final del artículo.