정확한 암호를 사용하는 것이 거의 즉각적 일 때 컴퓨터가“유효하지 않은 암호”로 응답하는 데 시간이 오래 걸리는 이유는 무엇입니까? [복제]

암호를 입력하고 올바른 암호를 입력하면 응답이 실제로 즉각적으로 이루어집니다 (예 : 로그온 프로세스).

그러나 잘못된 암호 (실수로 잊어 버린 암호 등)를 입력하면 암호가 틀렸다는 응답을하기까지 시간 (10-30 초)이 걸립니다.

왜 "비밀번호"가 틀린지 (상대적으로) 오래 걸립니까?

이것은 항상 Windows 및 Linux (실제 및 VM)에서 잘못된 암호를 입력하는 것에 대해 버그가 있습니다. Mac OSX에 대해 잘 모르겠습니다. Mac이 마지막으로 사용 된 지 얼마되지 않아 기억이납니다.

편집 : 복제를 위해 ssh를 통해 실제 컴퓨터의 시스템에 로그온하는 사용자의 컨텍스트에서 약간 다른 메커니즘을 사용하여 자격 증명에 로그인 / 확인 할 수 있습니다.

linux windows passwords

— 테르 마 틱스
소스

그 이유는 중복 (SSH 로그인)에 비해 정확히 동일 합니다.

— Jens Erat

그렇지 않다. 문맥이 다르다. 다른 차이점은 제공된 답변이 상세하지 않다는 것입니다.

— Thermatix

OP에 동의합니다. 질문은 확실히 관련되어 있지만 동일하지는 않습니다. "원격 연결에서 SSH가 '유효하지 않은 비밀번호'를 말하는 데 왜 그렇게 오래 걸립니까?" "콘솔에있을 때 Windows 로그인이 '유효하지 않은 암호'라고 말하는 데 왜 그렇게 오래 걸립니까?"에 대한 답과 반드시 같은 것은 아닙니다. 확실히 관련이 있고 의심스럽게 복제됩니다.

— CVn

후손을 위해, 이것이 다시 열릴 경우를 대비 하여, 잘못된 암호 시도가 올바른 암호보다 처리하는 데 더 오래 걸리는 이유 는 무엇입니까? 제목을 넘어 서면 Linux 호스트에 대한 원격 SSH 연결이 제공되는 유일한 예가 있습니다.

— CVn

"비밀번호"라고 말하는 데 시간이 오래 걸리는 이유는 무엇입니까?

그렇지 않습니다. 또는 컴퓨터가 더 이상 암호가 정확하지 않은지 확인하는 데 더 이상 걸리지 않습니다. 컴퓨터와 관련된 작업은 이상적으로 동일합니다. (암호가 정확한지 아닌지에 따라 다른 시간이 걸리는 암호 확인 체계는 다른 경우보다 적은 시간에 암호에 대한 지식을 얻기 위해 이용 될 수 있습니다.)

지연은 암호가 무엇인지에 대한 아이디어가 있고 자동 계정 잠금이 비활성화되어 있어도 (대부분의 시나리오에서와 같이) 다른 암호를 사용하여 액세스를 반복적으로 시도 하는 인공 지연 입니다. 임의 계정에 대한 사소한 서비스 거부를 허용합니다.

이 동작의 일반적인 용어는 타 피팅 입니다. Wikipedia 기사에서 네트워크 서비스 타 피팅에 대해 더 많이 이야기하지만 개념은 일반적입니다. Old New Thing 은 공식 소스가 아니지만 유효하지 않은 암호를 허용하는 것보다 유효하지 않은 암호를 거부하는 데 왜 더 오래 걸립니까? 이 기사의 끝 부분에서 이에 대해 이야기합니다.

— CVn
소스

나도 이것 궁금해! 흥미로운 답변. Enter 키를 누른 직후에 그것이 잘못되었다는 것을 깨달았을 때 오래 기다릴 수 있기 때문에 지연을 조금 더 짧게 만들 수 있기를 바랍니다. : P

— Blaine

이 보호는 대화 형 로그인이 아닌 스크립트 및 자동화 된 무차별 대입 기술을 대상으로합니다. 많은 경우에 지연이 임의적 (밀리 초 단위) 인 것을 포함하여 시간을 조정할 수없는 몇 가지 이유가 있습니다. 오류 메시지를 생성하는 데 걸린 시간을 기준으로 암호화 키에 대한 지식을 얻으려고 시도하는 타이밍 분석이라고하는 암호화 공격이 있습니다. 무작위 지연은 그것을 멋지게 패배시킵니다.

— Frank Thomas

@FrankThomas 나는 반복 된 시도가 이루어진 수단을 언급하지 않았다는 것을 쉽게 인정할 것이다. 그러나 유효하지 않은 자격 증명을 제공하면 많은 보안 시스템에서 매우 실제적이고 눈에 띄는 지연이 발생하여 사람이 인식 할 수있는 짧은 시간 동안 추가 시도를 막을 수 있습니다. 이 시점에서 이미 대화식으로 시스템에 액세스하고 있으므로 암호화 기본에 대한 마이크로 초 또는 밀리 초 수준의 타이밍 공격은 실제로 적용되지 않습니다.

— CVn

이 권한이 있습니까? 참조 할 기사 나 기사가 있습니까?

— rfportilla

@rfportilla "Authoritative"? 아니요. OP는 시작을 위해 완전히 다른 운영 체제에 대해 두 개 또는 세 개를 요구합니다. 하나는 암호를 묻는 시스템 수준 응용 프로그램 (로그인 관리자, 화면 보호기 등)을 가질 수 있고 다른 두 개는 독점입니다. (우리는 그들의 내부 활동을 모른다). 그 모든 것을 다루는 권위있는 출처 를 제공하는 것은 불가능 합니다. 질문이 "gdm3이 왜 이런 식으로 작동합니까?" 실제로 권위있는 답변이 가능했을 수도 있지만 여기서는 그렇지 않습니다.

— CVn