Почему компьютеру требуется больше времени, чтобы ответить на неверный пароль, а не на правильный?

Вы когда-нибудь вводили неверный пароль на своем компьютере случайно и заметили, что для ответа требуется несколько минут по сравнению с вводом правильного пароля? Это почему? Сегодняшний пост SuperUser Q & A содержит ответ на любопытный вопрос читателя.

Сегодняшняя сессия вопросов и ответов пришла к нам благодаря SuperUser - подразделению Stack Exchange, группе веб-сайтов вопросов и ответов, управляемой сообществом..

Скриншот предоставлен sully213 (Flickr).

Вопрос

Считыватель SuperUser user3536548 хочет знать, почему при вводе неверного пароля больше времени отклика:

Когда вы вводите пароль и он правильный, время отклика практически мгновенное. Но когда вы вводите неверный пароль (случайно или забыв правильный), требуется некоторое время (10-30 секунд), прежде чем он ответит, что пароль неверный.

Почему это так долго (относительно), чтобы сказать, что пароль неверный? Это всегда беспокоило меня при вводе неверных паролей в системах Windows и Linux (обычные и на основе виртуальных машин). Я не уверен насчет Mac OSX, так как не могу вспомнить, является ли он тем же самым (давно я не пользовался Mac).

Я спрашиваю в контексте входа пользователя в систему физически на месте, а не через SSH, который мог бы использовать несколько иные механизмы для входа (проверка учетных данных).

Почему при вводе неверного пароля больше времени отклика?

Ответ

У автора SuperUser Майкла Кёрлинга есть ответ для нас:

Почему это так долго (относительно), чтобы сказать, что пароль неверный?

Это не. Или, скорее, компьютеру больше не требуется, чтобы определить, что ваш пароль неверен по сравнению с его правильностью. Работа с компьютером в идеале точно такая же. Любая схема проверки пароля, которая занимает разное время в зависимости от того, является ли пароль верным или неправильным, может быть использована для получения, хотя и небольшого, знания о пароле за меньшее время, чем в противном случае.

Задержка - это искусственная задержка, из-за которой повторные попытки получить доступ с использованием разных паролей невозможны, даже если у вас есть представление о том, что это за пароль, и автоматическая блокировка учетной записи отключена (что должно быть в большинстве сценариев, поскольку в противном случае тривиальный отказ в обслуживании против произвольного аккаунта).

Общий термин для этого поведения - брезент. В то время как статья в Википедии больше говорит о проблемах с сетевым сервисом, эта концепция является общей. Старая новая вещь также не является официальным источником, но статья «Почему отклонение неверного пароля занимает больше времени, чем принятие действительного?» говорит об этом (ближе к концу статьи).

Есть что добавить к объяснению? Отключить звук в комментариях. Хотите узнать больше ответов от других технически подкованных пользователей Stack Exchange? Ознакомьтесь с полным обсуждением здесь.