![失敗したログインが成功したログインよりも時間がかかるのはなぜですか? [コピー]](https://linux33.com/image/36656/%E5%A4%B1%E6%95%97%E3%81%97%E3%81%9F%E3%83%AD%E3%82%B0%E3%82%A4%E3%83%B3%E3%81%8C%E6%88%90%E5%8A%9F%E3%81%97%E3%81%9F%E3%83%AD%E3%82%B0%E3%82%A4%E3%83%B3%E3%82%88%E3%82%8A%E3%82%82%E6%99%82%E9%96%93%E3%81%8C%E3%81%8B%E3%81%8B%E3%82%8B%E3%81%AE%E3%81%AF%E3%81%AA%E3%81%9C%E3%81%A7%E3%81%99%E3%81%8B%EF%BC%9F%20%5B%E3%82%B3%E3%83%94%E3%83%BC%5D.png)
マイコンピュータにログインするときにパスワードが正しい場合は、すぐにログインします。パスワードが間違っている場合は、「パスワードが間違っています」というメッセージが表示されるまで数秒間待つ必要があります。現れる。
端末でも同じことが起こりますsudo。しかし、なぜ?
パスワードハッシュが保存され、入力したパスワードのハッシュと比較されると確信しています。しかし、ハッシュが同じであることを確認するのに時間がかかりませんか?
答え1
パスワードエラーが原因でパスワードクラッキングプロセスが遅くなるように意図的に遅延が発生します。失敗した応答が成功した応答と同じ速さであれば、事前攻撃は直ちに終了します。
答え2
PAM構成では、複数のサービスを確認する必要があります。間違ったパスワードを入力すると、これらのサービスをすべて確認する必要があるため、時間がかかり、検証に失敗した場合に意図的にタイムアウトが増える可能性があります。正しいパスワードを入力すると、できるだけ早くスタックを終了して成功結果を返すため、設定されたすべてのリソースを確認する必要はありません。