Pourquoi faut-il plus de temps à un ordinateur pour répondre à un mot de passe incorrect par rapport à un mot de passe correct?
Avez-vous déjà entré le mauvais mot de passe sur votre ordinateur par accident et avez remarqué qu'il vous fallait quelques instants pour répondre à la comparaison avec la saisie du bon? Pourquoi donc? Le message Q & R du SuperUser d'aujourd'hui répond à une question d'un lecteur curieux.
La séance de questions et réponses d'aujourd'hui nous est offerte par SuperUser, une sous-division de Stack Exchange, un groupe de sites Web de questions-réponses dirigé par la communauté..
Capture d'écran fournie par sully213 (Flickr).
La question
Le superutilisateur User3536548 veut savoir pourquoi le temps de réponse est plus long lorsqu'un mot de passe incorrect est entré:
Lorsque vous entrez un mot de passe et qu'il est correct, le temps de réponse est pratiquement instantané. Mais lorsque vous entrez un mot de passe incorrect (par accident ou après en avoir oublié le bon), il faut un certain temps (10 à 30 secondes) pour que le mot de passe soit incorrect..
Pourquoi faut-il si longtemps (relativement) pour dire que le mot de passe est incorrect? Cela m’a toujours causé des problèmes lors de la saisie de mots de passe incorrects sur les systèmes Windows et Linux (standard et basés sur machine virtuelle). Je ne suis pas sûr à propos de Mac OSX car je ne me souviens plus si c'est la même chose (cela fait longtemps que je n'ai pas utilisé un Mac).
Je demande dans le contexte d'un utilisateur qui se connecte au système physiquement sur place plutôt que via SSH, qui pourrait éventuellement utiliser des mécanismes quelque peu différents pour se connecter (valider les informations d'identification).
Pourquoi le temps de réponse est-il plus long lorsque vous entrez un mot de passe incorrect??
La réponse
Le contributeur de SuperUser, Michael Kjorling, a la solution pour nous:
Pourquoi faut-il si longtemps (relativement) pour dire que le mot de passe est incorrect?
Ce ne est pas. Ou plutôt, l'ordinateur ne met plus longtemps à déterminer que votre mot de passe est incorrect par rapport à son exactitude. Le travail à effectuer pour l’ordinateur est, idéalement, exactement le même. Tout schéma de vérification de mot de passe prenant un laps de temps différent selon que le mot de passe est correct ou incorrect peut être exploité pour obtenir la connaissance, même minime, du mot de passe en moins de temps que ce ne serait autrement le cas..
Le délai est un délai artificiel pour rendre l'accès répétitif en utilisant différents mots de passe impossibles, même si vous avez une idée du mot de passe et que le verrouillage automatique du compte est désactivé (ce qui devrait être le cas dans la plupart des scénarios, car cela permettrait normalement un déni de service trivial contre un compte arbitraire).
Le terme général pour ce comportement est la tare. Bien que l'article de Wikipedia parle davantage de la tarpitting des services réseau, le concept est générique.. La vieille nouvelle chose n’est pas une source officielle non plus, mais l’article «Pourquoi faut-il plus de temps pour rejeter un mot de passe invalide que pour accepter un mot de passe valide?» en parle-t-on (vers la fin de l’article).
Avez-vous quelque chose à ajouter à l'explication? Sound off dans les commentaires. Voulez-vous lire plus de réponses d'autres utilisateurs de Stack Exchange doués en technologie? Découvrez le fil de discussion complet ici.