Por que a verificação incorreta da senha é lenta? [duplicado]

Question

Por que a verificação incorreta da senha é lenta? [duplicado]

#1 resposta do Black (2 votos)
#2 resposta do Warren Hill (1 votos)

3

Observado muitas vezes em muitas versões do Ubuntu. Se você digitar uma senha incorreta no modo UI ou no terminal, levará pouco tempo até declarar senha incorreta.

A verificação correta da senha é quase instantânea, mas a senha incorreta demora um pouco mais. Não é muito tempo, mas ainda muito mais do que a senha correta.

Por que isso acontece?

password 14.04 12.04

por user871199 18.07.2014 / 05:23

2 respostas

1

É um recurso de segurança para evitar, ou pelo menos desacelerar, a força bruta ou tentativas de dicionário para quebrar a senha.

A diferença no atraso entre aceitar uma senha e não aceitá-la pode parecer pequena se você estiver digitando essas senhas manualmente. Mas, sem esse recurso de segurança, um sistema automatizado poderia tentar milhares de senhas por segundo.

Há mais detalhes nesta questão em stackoverflow: Por que a verificação de uma senha errada demora mais do que a verificação correta?

por Warren Hill 18.07.2014 / 18:49

Tags password 14.04 12.04

Instalando o X.org (opensource) Driver do Ubuntu no terminal Como posso armazenar o valor que um usuário digita em uma variável?

score 2 · Accepted Answer

Como Marc já mencionou, esse mecanismo deve diminuir as estimativas de senha automatizadas.

O Linux normalmente usa pam_unix como módulo para verificar senhas de usuários locais. O padrão deste (e muitos outros módulos de autenticação) é para

[...] solicitar um atraso na falha da ordem de dois segundos.

como descrito na página de manual do pam_unix (veja o parâmetro nodelay )

Consequentemente, um atacante é consideravelmente retardado (não mais do que 30 palpites por minuto). Algumas implementações também aumentam o atraso até que a senha correta seja digitada).