Mengapa butuh waktu lama bagi komputer untuk merespons dengan "kata sandi yang tidak valid", ketika menggunakan kata sandi yang benar hampir instan? [duplikat]

10

Ketika Anda memasukkan kata sandi dan itu benar, responsnya praktis instan (yaitu proses log on).

Namun, ketika Anda memasukkan kata sandi yang salah (tidak sengaja, dilupakan, dll), diperlukan beberapa saat (10-30 detik) sebelum merespons bahwa kata sandi salah.

Mengapa butuh waktu lama (relatif) untuk mengatakan "kata sandi salah"?

Ini selalu mengganggu saya tentang memasukkan kata sandi yang salah di Windows dan linux (nyata dan VM); Saya tidak yakin tentang mac OSX karena saya tidak ingat apakah itu sama, sudah lama sejak saya terakhir menggunakan mac.

EDIT: demi duplikasi, saya bertanya dalam konteks pengguna masuk ke sistem di komputer fisik daripada melalui ssh yang bisa menggunakan mekanisme yang agak berbeda untuk masuk / memvalidasi kredensial.

linux windows passwords Thermatix
sumber
Alasannya persis sama dibandingkan dengan duplikat (SSH login).
Jens Erat
Mereka tidak, konteksnya berbeda; perbedaan lainnya adalah bahwa jawaban yang diberikan tidak sedetail
Thermatix
Saya setuju dengan OP. Pertanyaannya tentu terkait, tetapi tidak sama. Jawaban untuk "mengapa SSH butuh waktu lama untuk mengatakan 'kata sandi salah' pada koneksi jarak jauh?" belum tentu sama dengan jawaban untuk "mengapa butuh waktu lama untuk login Windows untuk mengatakan 'kata sandi tidak valid' ketika saya di konsol?", meskipun mereka cenderung serupa. Pasti terkait, duplikat diragukan.
CVn
Untuk anak cucu, untuk berjaga-jaga jika ini dibuka kembali, duplikat yang seharusnya adalah Mengapa upaya kata sandi yang salah membutuhkan waktu lebih lama untuk diproses daripada yang benar? , tetapi perhatikan bahwa di luar judul, satu-satunya contoh spesifik yang diberikan adalah koneksi SSH jarak jauh ke host Linux.
CVn

Jawaban:

17

Mengapa butuh waktu lama (relatif) untuk mengatakan "kata sandi salah"?

Tidak. Atau lebih tepatnya, tidak perlu komputer lagi untuk menentukan bahwa kata sandi Anda salah dibandingkan dengan yang benar. Pekerjaan yang terlibat untuk komputer, idealnya, persis sama. (Skema verifikasi kata sandi apa pun yang memerlukan jumlah waktu berbeda berdasarkan apakah kata sandi itu benar atau salah dapat dieksploitasi untuk mendapatkan pengetahuan, betapapun kecilnya kata sandi dalam waktu yang lebih singkat daripada yang seharusnya.)

Penundaan ini merupakan penundaan artifisial untuk berulang kali mencoba mendapatkan akses dengan menggunakan kata sandi berbeda yang tidak layak, bahkan jika Anda memiliki gagasan tentang kemungkinan kata sandinya dan penguncian akun otomatis dinonaktifkan (yang seharusnya dalam sebagian besar skenario, seperti yang seharusnya dilakukan memungkinkan untuk penolakan sepele terhadap layanan terhadap akun yang sewenang-wenang).

Istilah umum untuk perilaku ini adalah tarpitting . Sementara artikel Wikipedia berbicara lebih banyak tentang layanan jaringan, konsepnya generik. The Old New Thing juga bukan sumber resmi, tetapi mengapa perlu waktu lebih lama untuk menolak kata sandi yang tidak valid daripada menerima yang valid? tidak membicarakan hal ini di dekat akhir artikel.

sebuah CVn
sumber
Saya juga bertanya-tanya! Respon yang menarik. Saya berharap mereka bisa membuat penundaan sedikit lebih pendek, karena itu menjengkelkan untuk menunggu selama Anda menyadari segera setelah menekan enter bahwa itu salah: P
Blaine
1
Perlindungan ini sebagian besar ditargetkan pada skrip dan teknik brute force otomatis daripada login interaktif. Ada beberapa alasan Anda tidak dapat menyesuaikan waktu, termasuk bahwa dalam banyak kasus, penundaan itu acak (berdasarkan urutan milidetik). ada serangkaian serangan kriptografi yang disebut Analisis Waktu, yang berupaya mendapatkan pengetahuan tentang kunci kriptografi berdasarkan pada berapa lama waktu yang dibutuhkan untuk menghasilkan pesan kesalahan. penundaan acak mengalahkan itu dengan baik.
Frank Thomas
@ FrankThomas Saya akan segera mengakui bahwa saya tidak menyatakan cara yang digunakan upaya berulang kali dilakukan. Yang mengatakan, ada penundaan yang sangat nyata dan nyata dalam banyak sistem keamanan setelah memberikan kredensial yang tidak valid, mencegah upaya lebih lanjut untuk sejumlah waktu yang singkat tetapi dapat dipahami oleh manusia. Karena pada saat itu Anda sudah mengakses sistem secara interaktif, serangan pengaturan waktu mikrodetik atau milidetik pada primitif kriptografis tidak benar-benar berlaku.
CVn
Apakah ini resmi? Apakah Anda memiliki artikel atau sesuatu untuk referensi?
rfportilla
@rfportilla "Wewenang"? Tidak. OP bertanya tentang dua atau tiga sistem operasi yang sama sekali berbeda, untuk permulaan, salah satunya dapat memiliki sejumlah aplikasi tingkat sistem (manajer login, screensaver, ...) meminta kata sandi, dan dua lainnya berpemilik. (jadi kita tidak tahu cara kerja mereka). Tidak mungkin untuk menyediakan sumber otoritatif yang mencakup semua itu. Jika pertanyaannya adalah "mengapa gdm3 melakukannya dengan cara ini?" maka jawaban yang benar-benar berwibawa mungkin dimungkinkan, tetapi itu tidak terjadi di sini.
CVn