Perché ottenere una password errata richiede più tempo rispetto a no

Ci vuole lo stesso tempo per verificare una password errata e una corretta. Ma, quando la password è sbagliata, il sistema operativo ti fa aspettare un po '. Questa è una funzione di sicurezza, per scoraggiare le persone che provano "potenziali password" (in particolare persone con alcune abilità elettroniche, collegando alcuni circuiti che il computer considererà una tastiera, ma che in realtà cerca molte password molto velocemente) .

Tali cose non funzionano in un contesto di rete (se l'utente malintenzionato vuole provare rapidamente 100 password, può aprire 100 connessioni in parallelo) ma il codice di verifica della password viene spesso condiviso tra la rete e l'accesso locale.

Quando inserisci credenziali errate, il sistema operativo si connette al controller di dominio (per Windows o equivalente per altri sistemi operativi) per vedere se le tue credenziali sono cambiate (es. una password resettata dall'amministratore, bloccata da tentativi di autenticazione falliti) su un altro DC). Questo potrebbe richiedere qualche secondo in più, in particolare se la CC è occupata o remota.

Questo è separato da un ulteriore ritardo. Windows, ad esempio, aggiungerà un ritardo sempre maggiore dopo il terzo tentativo di accesso non riuscito nel caso in cui l'utente stia tentando di indovinare un nome utente anziché solo una password.

Identifica sì, ma devi controllare la politica per il blocco, ottenere / aggiornare i recenti tentativi falliti dal dominio, registrare gli eventi di sicurezza ecc.

Inoltre, alcuni sistemi aggiungono un ritardo per rallentare qualcuno provando i dizionari di nomi utente e simili.

È probabile che sia una cosa di sicurezza. Se un cattivo poteva provare migliaia di password il più velocemente possibile (o automatizzare!), Potrebbero entrare rapidamente in fretta. Se ogni errore li costa diversi secondi, il sistema diventa più difficile da attaccare con la forza bruta.