¿Por qué obtener una contraseña incorrecta lleva más tiempo que no?

12

Escribo mi contraseña para iniciar sesión en Win o Linux.

Caso 1: Lo hago bien. Reacción casi instantánea.

Caso 2: Lo escribí mal. Toma un tiempo y luego rebota.

¿Por qué lleva más tiempo identificar una contraseña incorrecta frente a una correcta? ¿No debería ser el tiempo para identificarse?

    
pregunta mirandalol 22.03.2013 - 22:47
fuente

4 respuestas

23

Lleva el mismo tiempo verificar una contraseña incorrecta y una correcta. Pero, cuando la contraseña es incorrecta, el sistema operativo te hace esperar un poco. Esta es una característica de seguridad, para desalentar a las personas que intentan "contraseñas potenciales" (en particular, personas con algunas habilidades electrónicas, conectando algunos circuitos que la computadora considerará un teclado, pero que en realidad intentan muchas contraseñas muy rápido) .

Tales cosas no funcionan tan bien en un contexto de red (si el atacante quiere probar 100 contraseñas rápidamente, puede abrir 100 conexiones en paralelo) pero el código de verificación de la contraseña a menudo se comparte entre la red y el inicio de sesión local.

    
respondido por el Thomas Pornin 23.03.2013 - 03:15
fuente
14

Cuando ingresa las credenciales incorrectas, el sistema operativo se conecta al controlador de dominio (para Windows o su equivalente para otros sistemas operativos) para ver si sus credenciales han cambiado (por ejemplo, un restablecimiento de la contraseña por parte del administrador, bloqueado por intentos de autenticación fallidos). en otro DC). Esto puede tardar unos segundos más, especialmente si el DC está ocupado o remoto.

Esto es independiente de un retraso agregado. Windows, por ejemplo, agregará un retraso cada vez mayor después del tercer y posterior intento fallido de inicio de sesión en caso de que el usuario intente adivinar un nombre de usuario en lugar de solo una contraseña.

    
respondido por el akton 22.03.2013 - 22:52
fuente
4

Identifique sí, pero luego debe verificar la política para el bloqueo, obtener / actualizar los recientes intentos fallidos del dominio, registrar los eventos de seguridad, etc.

Además, algunos sistemas solo agregan un retraso para hacer que los usuarios de diccionarios de usuario que intentan hacer algo más lento y lento.

    
respondido por el Bill 22.03.2013 - 22:50
fuente
4

Es probable que sea una cuestión de seguridad. Si un malvado pudiera probar miles de contraseñas tan rápido como podría escribir (¡o automatizar!), Podrían ingresar con bastante rapidez. Si cada falla les cuesta varios segundos, el sistema se vuelve órdenes de magnitud más difíciles de atacar con fuerza bruta.

    
respondido por el Bryan Oakley 23.03.2013 - 00:00
fuente

Lea otras preguntas en las etiquetas