Warum dauert es länger, bis ein Computer auf ein falsches Passwort reagiert, als auf ein korrektes?
Haben Sie jemals versehentlich ein falsches Kennwort auf Ihrem Computer eingegeben und festgestellt, dass es im Vergleich zur Eingabe des richtigen Kennworts einige Sekunden dauert, um zu reagieren? Warum das? Der heutige Q & A-Beitrag von SuperUser hat die Antwort auf die Frage eines neugierigen Lesers.
Die heutige Question & Answer-Sitzung wird dank SuperUser zur Verfügung gestellt - einer Unterteilung von Stack Exchange, einer Community-basierten Gruppierung von Q & A-Websites.
Screenshot mit freundlicher Genehmigung von sully213 (Flickr).
Die Frage
Der SuperUser-Leser user3536548 möchte wissen, warum die Antwortzeit länger ist, wenn ein falsches Passwort eingegeben wird:
Wenn Sie ein Passwort eingeben und es korrekt ist, ist die Antwortzeit praktisch sofort. Wenn Sie jedoch ein falsches Passwort eingeben (versehentlich oder das richtige vergessen), dauert es eine Weile (10 bis 30 Sekunden), bis es darauf reagiert, dass das Passwort falsch ist.
Warum dauert es relativ lange zu sagen, dass das Passwort falsch ist? Dies hat mich immer gestört, wenn auf Windows- und Linux-Systemen (reguläre und VM-basierte) falsche Kennwörter eingegeben wurden. Ich bin nicht sicher über Mac OSX, da ich mich nicht erinnern kann, ob es das gleiche ist (seit einiger Zeit habe ich einen Mac verwendet).
Ich frage im Kontext eines Benutzers, der sich physisch vor Ort am System anmeldet, anstatt über SSH, der möglicherweise etwas unterschiedliche Mechanismen zum Anmelden verwendet (Anmeldeinformationen überprüfen)..
Warum gibt es eine längere Antwortzeit, wenn Sie ein falsches Passwort eingeben?
Die Antwort
SuperUser-Mitwirkender Michael Kjorling hat die Antwort für uns:
Warum dauert es relativ lange, um zu sagen, dass das Passwort falsch ist??
Es tut nicht. Das heißt, der Computer braucht nicht länger, um festzustellen, dass Ihr Kennwort falsch ist, verglichen mit der Richtigkeit. Die Arbeit für den Computer ist im Idealfall genau die gleiche. Jedes Kennwortüberprüfungsschema, das abhängig davon, ob das Kennwort korrekt oder falsch ist, eine andere Zeit in Anspruch nimmt, kann ausgenutzt werden, um in kürzerer Zeit Kenntnis von dem Kennwort zu erlangen, als dies sonst der Fall wäre.
Die Verzögerung ist eine künstliche Verzögerung, um den wiederholten Versuch, mit unterschiedlichen Kennwörtern Zugriff zu erhalten, unmöglich zu machen, selbst wenn Sie eine Vorstellung von dem Kennwort haben und die automatische Kontosperrung deaktiviert ist (was in den meisten Szenarien so sein sollte, wie es sonst möglich wäre triviales Diensteverweigerungsverfahren gegen ein beliebiges Konto).
Der allgemeine Begriff für dieses Verhalten ist Tarpitting. Während der Wikipedia-Artikel mehr über Netzwerkdienst-Tarpitting spricht, ist das Konzept generisch. Das alte Neue ist auch keine offizielle Quelle, aber der Artikel „Warum dauert es länger, ein ungültiges Passwort abzulehnen, als ein gültiges Passwort zu akzeptieren?“ spricht darüber (am Ende des Artikels).
Haben Sie der Erklärung etwas hinzuzufügen? Sound off in den Kommentaren. Möchten Sie mehr Antworten von anderen technisch versierten Stack Exchange-Benutzern lesen? Hier geht es zum vollständigen Diskussionsthread.