Почему проверка неверного пароля выполняется медленно? [дубликат]
На этот вопрос уже есть ответ здесь:
Наблюдали это много раз во многих версиях Ubuntu. Если вы введете неправильный пароль в режиме пользовательского интерфейса или в терминале, пройдет немного больше времени, прежде чем будет объявлен неправильный пароль.
Правильный пароль проверяется практически мгновенно, но неправильный пароль занимает немного больше времени. Это немного времени, но все же намного больше, чем правильный пароль.
Почему это так?
2 ответа
Как Marc уже упомянул, этот механизм должен замедлить автоматизированные предположения пароля.
Linux обычно использует pam_unix как модуль для проверки паролей локальных пользователей. Значение по умолчанию этого (и много других модулей аутентификации) к
[...] запросите задержку при отказе порядка двухсекундных.
как описано в странице справочника pam_unix (см. параметр nodelay)
Следовательно, взломщик значительно замедлен (не больше, чем 30 предположений в минуту). Некоторые реализации также увеличивают задержку, пока правильный пароль не вводится).
Это - средство защиты, чтобы предотвратить, или по крайней мере замедлиться, грубая сила или словарь пытаются взломать пароль.
Различие в задержке между принятием пароля и не принятием его может шов, маленький при вводе тех паролей вручную. Но, без этого средства защиты автоматизированная система могла попробовать тысячи паролей в секунду.
Существует больше детали в этом вопросе на stackoverflow: Почему должен, проверяя неправильный пароль занять больше времени, чем проверка правильной?