Why does it take so long (relatively) to say "incorrect password" ?
Não. Ou melhor, o computador não demora mais para determinar se a senha está incorreta, em comparação com a correta. O trabalho envolvido para o computador é, idealmente, exatamente o mesmo. (Qualquer esquema de verificação de senha que leve um tempo diferente com base em se a senha está correta ou incorreta pode ser explorada para obter conhecimento, por menor que seja, da senha em menos tempo do que seria o caso.)
O atraso é um atraso artificial para fazer repetidamente tentativas de obter acesso usando senhas diferentes inviáveis, mesmo que você tenha alguma idéia de qual é a senha provável e automática o bloqueio de conta é desativado (o que deve acontecer na maioria dos cenários, pois, de outra forma, permitiria uma negação de serviço trivial em uma conta arbitrária).
O termo geral para esse comportamento é tarpitting . Enquanto o artigo da Wikipedia fala mais sobre tarpitting de serviço de rede, o conceito é genérico. The Old New Thing também não é uma fonte oficial, mas Por que demora mais para rejeitar uma senha inválida do que aceitar uma senha válida? fala sobre isso perto do final do artigo.