Waarom duurt het langer voordat een computer op een onjuist wachtwoord reageert dan op een correct?

waarom-duurt-het-langer-voor-een-computer-om-op-een-foutief-wachtwoord-versus-een-juiste-foto-reageert 1

Heb je ooit per ongeluk het verkeerde wachtwoord op je computer ingevoerd en is het je opgevallen dat het even duurt om te reageren in vergelijking met het invoeren van het juiste wachtwoord? Waarom is dat? De SuperUser Q&A-post van vandaag heeft het antwoord op de vraag van een nieuwsgierige lezer.

De vraag- en antwoordsessie van vandaag komt tot ons met dank aan SuperUser - een onderafdeling van Stack Exchange, een community-gedreven groep van Q&A-websites.



Screenshot met dank aan sully213 (Flickr).

De vraag

SuperUser-lezer user3536548 wil weten waarom er een langere reactietijd is bij het invoeren van een onjuist wachtwoord:

Wanneer u een wachtwoord invoert en het is correct, is de responstijd vrijwel onmiddellijk. Maar als je een foutief wachtwoord invoert (per ongeluk of vergeten van het juiste), duurt het even (10-30 seconden) voordat er wordt geantwoord dat het wachtwoord onjuist is.

Waarom duurt het zo lang (relatief gezien) om te zeggen dat het wachtwoord onjuist is? Dit heeft me altijd lastig gevallen bij het invoeren van onjuiste wachtwoorden op Windows- en Linux-systemen (normaal en VM-gebaseerd). Ik ben niet zeker van Mac OSX omdat ik me niet kan herinneren of het hetzelfde is (het is een tijdje geleden dat ik voor het laatst een Mac heb gebruikt).

Ik vraag dit in de context van een gebruiker die fysiek op locatie inlogt op het systeem in plaats van via SSH, wat mogelijk enigszins andere mechanismen zou kunnen gebruiken om in te loggen (inloggegevens valideren).

Waarom is er een langere reactietijd wanneer u een onjuist wachtwoord invoert?

Het antwoord

SuperUser-bijdrager Michael Kjorling heeft het antwoord voor ons:

Waarom duurt het zo lang (relatief gezien) om te zeggen dat het wachtwoord onjuist is?

Het doet niet. Of liever gezegd, de computer heeft niet langer nodig om vast te stellen dat uw wachtwoord onjuist is in vergelijking met correct. Het werk voor de computer is idealiter precies hetzelfde. Elk wachtwoordverificatieschema dat een andere hoeveelheid tijd in beslag neemt op basis van de vraag of het wachtwoord juist of onjuist is, kan worden misbruikt om in minder tijd kennis te krijgen van het wachtwoord, hoe klein ook, dan anders het geval zou zijn.

De vertraging is een kunstmatige vertraging om herhaaldelijk proberen toegang te krijgen door verschillende wachtwoorden te gebruiken, onhaalbaar, zelfs als je enig idee hebt wat het wachtwoord is en automatische accountvergrendeling is uitgeschakeld (wat in de meeste scenario's zou moeten zijn omdat het anders zou toestaan ​​voor een triviale denial of service tegen een willekeurig account).

De algemene term voor dit gedrag is tarpitting. Hoewel het Wikipedia-artikel meer spreekt over tarpitting van netwerkdiensten, is het concept generiek. The Old New Thing is ook geen officiële bron, maar het artikel Waarom duurt het langer om een ​​ongeldig wachtwoord af te wijzen dan om een ​​geldig wachtwoord te accepteren? praat hier wel over (bij het einde van het artikel).