当我输入我的超级用户权限密码或登录到我的Linux计算机时,如果我输入正确,它会立即返回并授予我访问权限。但是,如果我打错了一些字母,就会等待很长时间才告诉我密码不正确。通常,在计算机意识到之前,我已经知道自己搞砸了。
为什么会这样呢?据我所知,用户密码被加密并存储在/etc/shadow中,因此我的输入似乎只需要被加密并与该文件中我的用户名的内容进行比较——无论我输入正确的密码还是错误的密码,这个过程应该大致相同。是否有某种算法原因,比如它必须在确认密码不正确之前检查一堆额外的地方?或者系统知道它是一个错误的密码,但必须做很多工作来跟踪错误的登录尝试。或者只是想惩罚我犯错。
这是故意做的:原因是为了防止使用字典攻击来猜测密码。
快速反应对于字典攻击至关重要。在错误密码上减速是一种将攻击减缓到无法进行有意义的时间间隔内的方法。
我不确定这个问题是否相关。我也不确定我的回答是否正确,但我认为这是为了安全。使它变慢n倍意味着暴力攻击需要花费n倍的时间。
sudo 输入错误密码时的响应速度较慢,是为了防止使用 sudo 进行粗暴的暴力破解攻击,每次猜错都会减缓攻击速度,使攻击时间更长。那些合法使用它的人没有理由抱怨。如果你偶尔打错一个字母,你不会介意。如果你真的无法输入自己的密码,那么现在可能是时候将其更改为(安全的)可输入的密码了。
控制台或SSH登录也很慢。需要密码的任何操作都会被“减速”,以防止暴力攻击。
