[解決済み] なぜ間違ったパスワードのチェックは、正しいパスワードのチェックより時間がかかるのでしょうか？

疑問点

この質問はいつも私を悩ませます。

Linuxでは、パスワードを尋ねられたとき、入力が正しいものであれば、ほとんど遅れずにすぐにチェックされます。しかし、一方で、間違ったパスワードを入力すると、チェックするのに時間がかかります。なぜでしょうか？

私はこのことを、すべての Linux ディストリビューション を試したことがあります。

どのように解決するのですか？

実は、1秒間に何百万ものパスワードを試すブルートフォース攻撃を防ぐためなんです。パスワードがチェックされる速度を制限することであり、従うべき規則がいくつかあります。

• 成功したユーザーとパスワードのペアは、直ちに成功する必要があります。
• また はありません。 検出可能な失敗の理由の識別可能な違い。

最後の1つは特に重要です。それは、次のような役に立つメッセージがないということです。

Your user name is correct but your password is wrong, please try again

または

Sorry, password wasn't long enough

失敗理由の "invalid user and password" と "valid user but invalid password" では、応答に時間差すらない。

すべての は、テキストでもその他の方法でも、まったく同じ情報を提供する必要があります。

システムによっては、失敗するたびに遅延を大きくしたり、3 回の失敗しか許さず、再試行を許可する前に大幅な遅延を発生させるなど、さらに工夫が凝らされています。