Linux
為什麼登錄失敗比成功需要更多時間?
當登錄到我的電腦並且密碼正確時,登錄幾乎是瞬間發生的。密碼錯誤時,需要等待幾秒鐘,直到提示“密碼不正確”。出現。
同樣的事情發生在終端上
sudo。但為什麼?我很確定密碼雜湊值已保存並與輸入密碼的雜湊值進行比較。但是確認雜湊值是否相同不是需要更長的時間嗎?
密碼失敗會故意引入延遲,以使密碼破解過程緩慢。如果失敗和成功一樣快地回复,那麼字典攻擊將很快結束。
PAM 配置有多個服務要檢查。當您輸入錯誤的密碼時,它必須檢查所有這些服務,這需要額外的時間——也可能會在檢查失敗時故意增加超時。當您獲得正確的密碼時,它會盡快退出堆棧並獲得成功的結果,因此它不必檢查所有已配置的資源。