El lugar más destacado en el que me he dado cuenta es cuando estoy haciendo SSH en el trabajo, pero siento que también he observado este comportamiento en otros lugares.
Cuando intento iniciar sesión en los servidores de Linux desde mi escritorio de Windows en el trabajo, me doy cuenta de que si escribo mal mi contraseña, me llevará unos 5 segundos antes de que vuelva a "Acceso denegado". Luego, cuando escribo mi contraseña correctamente, el inicio de sesión (junto con los mensajes de bienvenida, etc.) es prácticamente instantáneo.
¿Hay alguna razón lógica para esto, o sería una configuración extraña que es específica de las máquinas aquí en el trabajo?
linux
performance
passwords
Cam Jackson
fuente
fuente
Respuestas:
Probablemente haya un tiempo de espera artificial incorporado para dificultar el éxito de un ataque de fuerza bruta.
Verá esto en muchas solicitudes de inicio de sesión que implican autenticación segura ...
fuente
Este es un retraso previsto para evitar ataques de fuerza bruta. Una demora más larga también evita que el atacante pueda adivinar que la diferencia entre el nombre de usuario es incorrecto y la contraseña es incorrecta (el hash y la verificación de la contraseña lleva mucho más tiempo que verificar el nombre de usuario).
fuente
Técnicamente, este retraso deliberado es para prevenir ataques como el "ataque de linealización" (también hay otros ataques y razones) .
Linearization.java.
Linearization.docx, salida de muestra
Gran parte del escrito marcial está adaptado de esto (tomado de "Seguridad de la información: Principios y práctica" de Mark Stamp). Además, los cálculos anteriores no tienen en cuenta la cantidad de conjeturas necesarias para determinar la longitud de serie correcta.
fuente