Doğru bir şifre kullanılmaya hemen yaklaşıldığında, bilgisayarın “geçersiz şifre” ile yanıt vermesi neden bu kadar uzun sürüyor? [çift]

Bu sorunun burada zaten bir cevabı var:

Neden yanlış bir şifre girişimi işlemek doğru bir şifreden daha uzun sürdü? 3 cevaplar

Bir şifre girdiğinizde ve doğru olduğunda, yanıt pratikte anında gerçekleşir (yani oturum açma işlemi).

Ancak yanlış bir şifre (yanlışlıkla unutulmuş, vb.) Girdiğinizde, şifrenin yanlış olduğuna cevap vermesi biraz zaman alır (10-30 saniye).

"Yanlış şifre" demek neden bu kadar uzun sürüyor?

Bu beni her zaman Windows ve linux’a (real ve VM) yanlış şifreler girmekle suçladı; Mac OSX hakkında emin değilim, çünkü en son Mac kullandığımdan beri aynı olup olmadığını hatırlayamıyorum.

EDIT: çoğaltma uğruna, kimlik bilgilerini girmek / doğrulamak için biraz farklı mekanizmalar kullanabilecek ssh yerine sisteme giriş yapan bir kullanıcı bağlamında soruyorum.

linux windows passwords

— Thermatix
kaynak

Sebepleri , yinelemeyle aynı olanlar (SSH girişi).

— Jens Erat

Onlar değil, bağlam farklıdır; Diğer bir fark da cevap

— verilenlerin

OP ile aynı fikirdeyim. Sorular kesinlikle birbiriyle ilişkili, ancak aynı değil. "SSH'nın uzak bağlantıda 'geçersiz şifre' demesi neden bu kadar uzun sürüyor?" Her ne kadar benzer olsalar da, "Konsolda olduğumda neden Windows oturum açma işleminde 'geçersiz parola' demem neden bu kadar uzun sürüyor?" ifadesiyle aynı değildir. Kesinlikle ilgili, şüphesiz kopyalar.

— CVn

Gelecek dönem için, bunun yeniden açılması durumunda, sözde yinelenen kişi şudur: Yanlış bir şifre girişimi neden doğru bir işlemden daha uzun sürüyor? Ancak, başlığın ötesinde, orada verilen tek özel örnek, Linux ana bilgisayarına uzak bir SSH bağlantısı olduğunu unutmayın.

— bir CVn

"Yanlış şifre" demek neden bu kadar uzun sürüyor?

Öyle değil. Ya da daha doğrusu, şifrenizin doğru olması ile karşılaştırıldığında şifrenizin yanlış olduğunu tespit etmek artık bilgisayar gerektirmez. Bilgisayarla ilgili çalışmalar ideal olarak tam olarak aynı. (Parolanın doğru veya yanlış olmasına bağlı olarak farklı bir zaman alan herhangi bir parola doğrulama şeması, parola hakkında, ancak durumundan daha az bir sürede daha az zamanda bilgi edinmek için kullanılabilir.)

Gecikme, farklı şifreler kullanarak erişilebilmesi için art arda erişmeyi denemek için yapay bir gecikmedir , eğer parolanın muhtemel olduğu hakkında bir fikriniz olsa ve otomatik hesap kilitleme devre dışı bırakılmışsa (çoğu senaryoda olması gerektiği gibi) keyfi bir hesaba karşı önemsiz bir hizmet reddine izin ver).

Bu davranış için genel terim tarpitting . Vikipedi makalesi, ağ hizmeti hedeflemesi hakkında daha fazla konuşuyor olsa da, kavram geneldir. Eski Yeni Şey de resmi bir kaynak değil, ancak geçersiz bir şifreyi reddetmek neden geçerli bir şifreyi kabul etmekten daha uzun sürüyor? makalenin sonuna doğru bu konuda konuşur.

— bir CVn
kaynak

Ben de bunu merak ediyorum! İlginç cevap Keşke gecikmeyi biraz daha kısa hale getirebilselerdi, basıldıktan hemen sonra farkettiğinizde bu kadar beklemeniz can sıkıcıdır: P

— Blaine

Bu koruma, büyük ölçüde etkileşimli oturum açmalardan ziyade komut dosyalarında ve otomatik kaba kuvvet tekniklerinde hedeflenir. Süreyi ayarlayamamanızın birkaç nedeni vardır, bununla birlikte çoğu durumda gecikmenin rastgele (milisaniye sırasına göre) olması gerekir. Zamanlama Analizi olarak adlandırılan ve bir hata mesajı oluşturmanın ne kadar sürdüğüne bağlı olarak bir şifreleme anahtarı hakkında bilgi edinmeye çalışan bir dizi şifreleme saldırısı vardır. rastgele bir gecikme, bunu güzel bir şekilde yener.

— Frank Thomas

@ FrankThomas, tekrarlanan girişimlerin ne şekilde yapıldığını ifade etmediğimi kolayca kabul ediyorum. Bununla birlikte, birçok güvenlik sisteminde geçersiz kimlik bilgileri sağlayarak, kısa ancak insan tarafından algılanabilen bir süre için daha fazla girişim yapılmasını önleyen çok gerçek ve göze çarpan bir gecikme var. Bu noktada sisteme etkileşimli olarak erişmeye başladığınızdan, kriptografik ilkellere mikrosaniye veya milisaniye düzeyinde zamanlama saldırıları gerçekten uygulanmaz.

— CVn

Bu yetkili mi? Başvurmanız gereken bir makale veya bir şey var mı?

— rfportilla

@rfportilla "Yetkili"? Hayır. OP, bir tanesi için şifreler isteyen ve diğer ikisi de özel olan herhangi bir sayıda sistem düzeyinde uygulamaya sahip olabilecek (oturum açma yöneticisi, ekran koruyucu, ...) olmak üzere tamamen farklı iki veya iki farklı işletim sistemi soruyor. (yani onların iç işleyişini bilmiyoruz). Tüm bunları kapsayan yetkili bir kaynak sağlamak mümkün değildir . Eğer soru "neden gdm3 bu şekilde yapıyor?" Olsaydı. o zaman gerçekten yetkili bir cevap mümkün olabilirdi, ama bu durum böyle değil.

— CVn