Czy kiedykolwiek zdarzyło Ci się przypadkowo wprowadzić nieprawidłowe hasło na komputerze i zauważyłeś, że odpowiedź zajmuje kilka chwil w porównaniu z wprowadzeniem prawidłowego? Dlaczego? Dzisiejszy post z pytaniami i odpowiedziami dla SuperUser zawiera odpowiedź na ciekawe pytanie czytelnika.
Dzisiejsza sesja pytań i odpowiedzi przychodzi do nas dzięki uprzejmości SuperUser — pododdziału Stack Exchange, społecznościowej grupy witryn internetowych z pytaniami i odpowiedziami.
Zrzut ekranu dzięki uprzejmości sully213 (flickr).
Pytanie
Czytnik SuperUser user3536548 chce wiedzieć, dlaczego w przypadku wprowadzenia nieprawidłowego hasła czas odpowiedzi wydłuża się:
Gdy wprowadzisz hasło i jest ono poprawne, czas odpowiedzi jest praktycznie natychmiastowy. Ale kiedy wprowadzisz nieprawidłowe hasło (przez przypadek lub zapomniałeś poprawnego), mija trochę czasu (10-30 sekund), zanim odpowie, że hasło jest nieprawidłowe.
Dlaczego tak długo (względnie) trwa stwierdzenie, że hasło jest nieprawidłowe? To zawsze przeszkadzało mi przy wprowadzaniu niepoprawnych haseł w systemach Windows i Linux (zwykłe i oparte na maszynach wirtualnych). Nie jestem pewien co do Mac OSX, ponieważ nie pamiętam, czy jest taki sam (minęło trochę czasu, odkąd ostatnio używałem Maca).
Pytam w kontekście użytkownika logującego się do systemu fizycznie na miejscu, a nie przez SSH, który mógłby używać nieco innych mechanizmów do logowania (sprawdzania poświadczeń).
Dlaczego czas odpowiedzi jest dłuższy, gdy wprowadzisz nieprawidłowe hasło?
Odpowiedź
Współtwórca SuperUser Michael Kjorling ma dla nas odpowiedź:
Dlaczego tak długo (względnie) trwa stwierdzenie, że hasło jest nieprawidłowe?
To nie. Albo raczej komputer nie potrzebuje więcej czasu, aby stwierdzić, że twoje hasło jest niepoprawne w porównaniu do tego, czy jest poprawne. Praca związana z komputerem jest w idealnym przypadku dokładnie taka sama. Każdy schemat weryfikacji hasła, który zajmuje inny czas w zależności od tego, czy hasło jest poprawne, czy niepoprawne, może zostać wykorzystany do uzyskania wiedzy o haśle, nawet niewielkiej, w krótszym czasie, niż miałoby to miejsce w innym przypadku.
Opóźnienie jest sztucznym opóźnieniem, które sprawia, że wielokrotne próby uzyskania dostępu za pomocą różnych haseł są niewykonalne, nawet jeśli masz pewne pojęcie o tym haśle, a automatyczna blokada konta jest wyłączona (co powinno być w większości scenariuszy, ponieważ w przeciwnym razie pozwoliłoby na trywialna odmowa usługi przeciwko arbitralnemu kontu).
Ogólnym terminem dla tego zachowania jest tarpitowanie. Chociaż artykuł w Wikipedii mówi więcej o tarpitingu usług sieciowych, koncepcja jest ogólna. Stara Nowa Rzecz nie jest też oficjalnym źródłem, ale artykuł „Dlaczego odrzucenie nieprawidłowego hasła trwa dłużej niż zaakceptowanie prawidłowego?” mówi o tym (pod koniec artykułu).
Masz coś do dodania do wyjaśnienia? Dźwięk w komentarzach. Chcesz przeczytać więcej odpowiedzi od innych doświadczonych technologicznie użytkowników Stack Exchange? Sprawdź pełny wątek dyskusji tutaj.