Por que há um atraso ao digitar uma senha errada?

4

Ao digitar a senha correta, o aplicativo ou o sistema operacional (nenhum aplicativo específico, praticamente em qualquer lugar) aceita isso imediatamente, mas ao digitar uma senha errada, há um pequeno atraso de 1 a 2 segundos. Por que isso?

    
por tr3quart1sta 29.05.2014 / 20:56

1 resposta

10

O atraso é diminuir as tentativas de cracking feitas pelo software automatizado. Sem demora, as tentativas de cracking seriam muito mais rápidas.

Documentação: Veja homem pam_fail_delay

  

FUNDAMENTO

   It is often possible to attack an authentication scheme by exploiting
   the time it takes the scheme to deny access to an applicant user. In
   cases of short timeouts, it may prove possible to attempt a brute force
   dictionary attack -- with an automated process, the attacker tries all
   possible passwords to gain access to the system. In other cases, where
   individual failures can take measurable amounts of time (indicating the
   nature of the failure), an attacker can obtain useful information about
   the authentication process. These latter attacks make use of procedural
   delays that constitute a covert channel of useful information.

   To minimize the effectiveness of such attacks, it is desirable to
   introduce a random delay in a failed authentication process. Preferable
   this value should be set by the application or a special PAM module.
   Standard PAM modules should not modify the delay unconditional.
    
por Panther 29.05.2014 / 20:59

Tags