Tempat paling menonjol yang saya perhatikan adalah saat SSH bekerja, tetapi saya merasa seperti saya mengamati perilaku ini di tempat lain juga.
Ketika saya mencoba masuk ke server Linux dari desktop Windows saya di kantor, saya perhatikan bahwa jika saya salah ketik kata sandi saya, dibutuhkan sekitar 5 detik sebelum saya mendapatkan "Akses Ditolak" kembali. Kemudian ketika saya mengetik kata sandi dengan benar, login (bersama dengan pesan selamat datang dll) hampir instan.
Apakah ada alasan logis untuk ini, atau apakah itu karena beberapa konfigurasi aneh yang khusus untuk mesin di sini di tempat kerja?
linux
performance
passwords
Cam Jackson
sumber
sumber
Jawaban:
Mungkin ada batas waktu buatan yang dibuat untuk membuat serangan brute force lebih sulit untuk berhasil.
Anda akan melihat ini pada banyak login yang melibatkan otentikasi aman ...
sumber
Ini adalah beberapa penundaan yang dimaksudkan untuk mencegah serangan brute force. Penundaan yang lebih lama juga mencegah penyerang dapat menebak perbedaan antara nama pengguna salah dan kata sandi salah (hashing dan memeriksa kata sandi membutuhkan waktu lebih lama daripada memeriksa nama pengguna).
sumber
Secara teknis, ini penundaan yang disengaja adalah untuk mencegah serangan seperti "Serangan linierisasi" (ada serangan dan alasan lain juga) .
Linearization.java.
Linearization.docx, sampel keluaran
Banyak bela diri tertulis diadaptasi dari ini (diambil dari "Keamanan Informasi: Prinsip dan Praktik" Mark Stamp). Juga perhitungan di atas tidak memperhitungkan jumlah dugaan yang diperlukan untuk mengetahui panjang seri yang benar.
sumber