Warum sollte die überprüfung ein Falsches Passwort länger als die überprüfung der richtige?

Dieser Frage beunruhigt mich.

Unter Linux, wenn nach einem Passwort gefragt, wenn Sie Ihre Eingabe korrekt ist, überprüft er sofort, mit fast keiner Verzögerung. Aber auf der anderen Seite, wenn Sie geben ein Falsches Passwort eingegeben, es dauert länger, um zu überprüfen. Warum ist das so?

Ich beobachtet diese in allen Linux-Distributionen die ich je ausprobiert habe.

  • Sie finden dieses, um wahr zu sein von Windows. Auch das ändern der Titel zu so etwas wie, "Warum haben falsche Passwörter länger dauern als richtigen sind." Würde es mehr Programmierung verwandt.
  • Ich habe gerade angemeldet in meinem Ubuntu-system, das falsche Kennwort eingegeben und mir die selbe Frage gestellt. 🙂
InformationsquelleAutor Flávio Amieiro | 2009-04-03
  1. 105

    Es ist eigentlich zu verhindern, dass brute-force-Attacken versucht, Millionen Passwörter pro Sekunde. Die Idee ist, zu begrenzen, wie schnell Passwörter überprüft werden können, und es gibt eine Reihe von Regeln, die befolgt werden sollten.

    • Einer erfolgreichen Benutzer/Passwort-paar gelingen sollte, sofort.
    • Es sollte keine erkennbaren Unterschied in Gründe für Fehler, die erkannt werden können.

    Dass Letzte ist besonders wichtig. Es bedeutet keine hilfreichen Meldungen wie:

    Your user name is correct but your password is wrong, please try again

    oder:

    Sorry, password wasn't long enough

    Nicht einmal ein Zeit Unterschied in der Antwort zwischen "ungültige Benutzer-und Kennwort" und "gültige Benutzer aber ungültiges Kennwort" Gründe für Fehler.

    Jeder scheitern sollte, um genau die gleichen Informationen, Text-und sonst.

    Einigen Systemen ist es sogar noch weiter, steigt die Verzögerung bei jedem Versagen, oder erlauben, nur drei Ausfälle dann eine erhebliche Verzögerung, bevor ein erneuter Versuch.

    • Wie funktioniert diese verhindern, dass eine app von Gabelungen, versuchen Sie ein Passwort, und wenn es nicht zurückkommt Erfolg in einer Zeit, kill -9 das Kind und die Gabel wieder. Ja, das funktioniert nur, wenn Sie sich anmelden können, da einige Benutzer aber Wann hat das aufgehört, jemanden?
    • Es hört nicht jeder, aber Sie haben noch zu verzögern, dass für "einige Zeit". Sogar eine winzige Verzögerung macht die überprüfung von Millionen von Passwörter nutzlos, und Sie werden erkannt werden, wenn Sie es tun, während Sie angemeldet sind, auf - glauben Sie, nichts ist protokolliert fehlgeschlagene logins?
    • BCS: wenn Sie bereits ein gültiges login mit ausreichend Privilegien ab, das zu tun, was Sie vorschlagen, sind die Chancen, dass Sie Sie nicht mehr brauchen brute-force-Angriffe (da gibt es andere Angriffsmethoden zur Verfügung, um Sie). Die Verzögerung ist besonders nützlich gegen externe Angreifer.
    InformationsquelleAutor paxdiablo
  2. 14

    Dies macht es länger dauern, die Kennwörter zu erraten.

    InformationsquelleAutor RossFabricant
  3. 12

    Ich bin mir nicht sicher, aber es ist durchaus üblich, um zu integrieren, die eine Verzögerung nach Eingabe eines falschen Passworts, um die Angriffe härter. Das macht einen Angriff practicaly nicht machbar, denn es dauert eine lange Zeit zu überprüfen, nur ein paar Passwörter.

    Einmal versuchen, ein paar Passwörter - Geburtsdaten, der name der Katze, und Dinge wie, dass - sich in den keinen Spaß.

    • Und oft ist der timeout auf dem zweiten Ausfall länger ist als die timeout-auf den ersten - und das ist auch gut.
    • Hast du unter den news-post über die wahrscheinliche Passwörter? 123456 ist sehr, sehr beliebt!
    • Eigentlich wollte ich diese Elemente sehen aber, aus der Erinnerung, es ist nicht so schlimm wie Menschen aus, waren Sie (wie es die Medien gerne tun), Ausblasen der Anteil. Die Passwörter wurden gezogen, aus den Listen der gefährdet Konten on-line, was bedeutet, dass Sie sind viel eher unsicher (weil Sie kompromittiert wurden). 123456 konnte auch machen Sie bis 30% (zum Beispiel) von kompromittierten accounts aber ist unwahrscheinlich, dass irgendwo in der Nähe, die signifikant über alle Konten.
    • Nein, diese Listen sind von Passwort-Datenbank-hacks und die meisten von Ihnen repräsentieren die sample-sets in die Millionen. Die Ergebnisse dieser hacks wurden bestätigt, über mehrere online-datasets und sind sehr repräsentativ für den "durchschnittlichen" Verbraucher. Nur so erhalten Sie sichere Kennwörter zu erzwingen, die es bei der Schöpfung, oder noch besser, verwenden Sie 2-Faktor-Authentifizierung, die weit mehr nützlich sowieso.
    InformationsquelleAutor Daniel Brückner
  4. 12

    Grundsätzlich zum Schutz vor brute-force-und Wörterbuch-Attacken.

    Vom Die Linux-PAM Application Developer ' s Guide:

    Planung für Verzögerungen

    extern int pam_fail_delay(pam_handle_t *pamh, unsigned int micro_sec);

    Diese Funktion wird angeboten durch die Linux-PAM
    zur Erleichterung der zeitlichen Verzögerungen nach einem
    gescheiterten Aufruf pam_authenticate() und
    bevor die Steuerung zurückgegeben wird, um die
    - Anwendung. Bei Verwendung dieser Funktion
    der Anwendungsprogrammierer sollte
    prüfen Sie, ob es verfügbar ist,

    #ifdef PAM_FAIL_DELAY
    ....
#endif /* PAM_FAIL_DELAY */

    In der Regel, die eine Anwendung anfordert
    dass ein Benutzer authentifiziert ist,
    Linux-PAM durch einen Aufruf von
    pam_authenticate() oder pam_chauthtok().
    Diese Funktionen rufen jedes der
    stacked authentication modules aufgelistet
    in den einschlägigen Linux-PAM
    Konfigurations-Datei. Als Regie
    diese Datei, eine weitere der Module
    kann fehlschlagen, wodurch die pam_... () - Aufruf
    wird ein Fehler zurückgegeben. Es ist wünschenswert, für
    gibt es auch eine pause geben, bevor die
    Anwendung weiter. Der AUFTRAGGEBER
    Grund für eine solche Verzögerung ist in der Sicherheit: eine
    Verzögerung Handlungen abzuhalten brute-force
    Wörterbuch-Attacken in Erster Linie, aber auch
    hilft behindern timed (covert channel)
    Angriffe.

    InformationsquelleAutor user32542
  5. 8

    Es ist eine sehr einfache, fast mühelos Weg, um deutlich erhöhen Sie die Sicherheit. Bedenken Sie:

    1. System A hat keine Verzögerung. Hat ein Angreifer ein Programm, dass die erstellt von Benutzername/Passwort-Kombinationen. Bei einer rate von tausend versuche pro minute, es dauert nur ein paar Stunden, um zu versuchen, jede Kombination und Aufzeichnung aller erfolgreichen Anmeldungen.

    2. System B generiert eine 5-Sekunden Verzögerung nach jeder falschen Vermutung. Der Angreifer die Effizienz wurde reduziert auf 12 versuche pro minute, effektiv lähmt die brute-force-Angriff. Statt Stunden, es kann Monate dauern, zu finden, ein gültiges login. Wenn Hacker waren, dass die Patienten, Sie würden gehen legit. 🙂

    InformationsquelleAutor Adam Liss
  6. 4

    Fehlgeschlagen Authentifizierung Verzögerungen sind da, um zu verringern die rate der login-Versuch. Die Idee, dass, wenn jemand versucht, ein Wörterbuch-oder brute-force-Angriff gegen einen oder kann Benutzer-Konten, die Angreifer werden benötigt, um das warten der fail delay und so zwingt ihn, mehr Zeit in Anspruch nehmen und Ihnen mehr chance es zu erkennen.

    Sie könnten auch interessiert sein, zu wissen, dass, je nachdem, was Sie verwenden als login-shell es ist in der Regel eine Möglichkeit zum konfigurieren dieser Verzögerung.

    In der GDM, die Verzögerung liegt in der gdm.conf-Datei (normalerweise in /etc/gdm/gdm.conf). Sie müssen RetryDelay=x, wobei x ein Wert in Sekunden.

    Meisten linux-distribution, die diesen Tag auch zu unterstützen FAIL_DELAY definiert in /etc/login.defs, in dem Sie die Wartezeit nach einem fehlgeschlagenen login-Versuch.

    Schließlich PAM erlaubt Ihnen auch, eine nodelay-Attribut auf Ihren auth-Linie zu umgehen, um den fail delay. (Hier ist ein Artikel über PAM und linux)

    InformationsquelleAutor Pierre-Luc Simard
  7. 1

    Ich sehe nicht, dass es so einfach sein kann wie die Antworten vermuten lassen.

    Wenn die Antwort auf eine richtige Passwort ist (etwas Wert) unmittelbare, nicht müssen Sie nur noch warten, bis mehr als das Wert zu wissen das das Passwort falsch ist? (zumindest wissen, probabilistisch, das ist gut für das knacken Zwecke) Und trotzdem wären Sie ausgeführt wird dieser Angriff im parallel... ist das alles ein großes DoS-welcome-mat?

    • das ist nicht, was Sie bedeuteten. es gibt einen offensichtlichen Unterschied zwischen immer das Passwort ist falsch oder richtig. was Sie meinte war, dass es keinen Unterschied zwischen einem falschen Benutzernamen und ein Falsches Passwort. und meinst du, läuft dieser Angriff im parallel? wie kann man es parallel?
    • parallel läuft vermutlich würde bedeuten, das öffnen mehrerer verbindungen und einloggen. Noch zeitaufwendig und nicht sehr praktisch.
    • Wenn Sie ausführen können, eine million Prüfungen pro Sekunde auf einem nicht-verlangsamt die Verbindung und die Verbindung hat dann ein 1-Sekunden-Verzögerung Hinzugefügt, die für fehlgeschlagene versuche, brauchen Sie einen Millionen-Angriff-clients den gleichen Effekt zu erhalten. Ich bezweifle, dass der server ermöglicht es, dass viele telnet-Sitzungen erstellt werden.
    • der Punkt ist, Sie müssen nicht zu warten, die Verzögerung, bevor Sie die nächste Kennwort ein, so was ist die Verwendung?
    • das ist, was ich mit DoS-willkommen-Matte
    • Sie müssen erneut eine Verbindung mit dem host und, falls erforderlich, der nächste Schritt wäre die überprüfung der IP-Adressen zu fangen, diese als gut.
    • Oder haben Sie gerade erfolgreich versucht, eine zweite auch. Sie nicht anmelden, oft genug ein problem zu sein, aber es wäre für einen Angriff Knoten.
    • ja natürlich, aber ohne den nächsten Schritt, was ist der Punkt?
    • Denken Sie daran, dass es Zeit braucht, um eine Netzwerkverbindung herstellen, es ist also wesentlich effizienter, um "Huckepack" mehrere versuche auf einem (Netzwerk -) Sitzung, als zu versuchen, einmal, trennen, wieder anschließen, versuchen Sie es erneut, da capa ad infinitum. Ein gutes system wird, trennen Sie Benutzer nach einer kleinen Anzahl von Fehlern.

    InformationsquelleAutor
  8. 1

    Was ich versucht habe, bevor schien zu funktionieren, aber eigentlich nicht; wenn Sie die Pflege müssen Sie überprüfen die wiki Bearbeiten Geschichte...

    Was hat Arbeit (für mich) ist, zu beide niedriger der Wert der pam_faildelay.so delay=X in /etc/pam.d/login (ich senkte es bis 500000, halbe Sekunde), und auch hinzufügen nodelay (mit vorangestelltem Leerzeichen) an das Ende der Zeile in common-auth, wie beschrieben durch Gabriel in seiner Antwort.

    auth [success=1 default=ignore] pam_unix.so nullok_secure nodelay

    Zumindest bei mir (debian sid), nur eine dieser änderungen nicht verkürzen Sie die Verzögerung deutlich unter die Vorgabe von 3 Sekunden, obwohl es möglich ist zu verlängern die Verzögerung nur durch Veränderung der Wert in /etc/pam.d/login.

    Diese Art von Mist ist genug, um einen Erwachsenen Mann Weinen!

    • Dies löste es bei mir auf Xubuntu 15.04.
    InformationsquelleAutor user383869
  9. 0

    Ubuntu 9.10, und ich denke, dass die neuen Versionen auch die Datei die du suchst befindet sich auf

    /etc/pam.d/login

    Bearbeiten Sie die Zeile:

    auth optional pam_faildelay.so delay=3000000

    änderung der Nummer 3 mit einer anderen, die Sie vielleicht wollen.

    Beachten Sie, dass eine 'nodelay' Authentifizierung, ich DENKE, du solltest die Datei Bearbeiten

    /etc/pam.d/common-auth

    zu. Auf der Linie:

    auth [success=1 default=ignore] pam_unix.so nullok_secure

    hinzufügen 'nodelay', um die endgültige (ohne Anführungszeichen).
    Aber dieses endgültige Erklärung über die 'nodelay' ist, was ich denke.

    InformationsquelleAutor Gabriel L. Oliveira
  10. 0

    Möchte ich hinzufügen, eine Notiz aus einer Entwickler-Perspektive. Obwohl dies nicht auf der Hand liegen, mit bloßem Auge ein smart-Entwickler ausbrechen würde, der eine match-Abfrage, wenn die übereinstimmung gefunden wird. In Zeugnis, ein erfolgreiches match vollständig wäre schneller als eine ausgefallene match. Da die matching-Funktion vergleichen Sie die Anmeldeinformationen auf alle bekannten Konten, bis Sie Sie findet das richtige Wort. In anderen Worten, sagen wir 1.000.000 Benutzer-accounts durch IDs; 001, 002, 003 und so weiter. Ihre ID ist 43,001. Also, wenn Sie einen korrekten Benutzernamen und Passwort, der scan Stoppt bei 43,001 und protokolliert Sie in. Wenn Sie Ihre Anmeldeinformationen nicht korrekt sind, dann durchsucht Sie alle 1.000.000 Datensätze. Der Unterschied in der Bearbeitungszeit auf einen dual-core-server in Millisekunden. Auf Windows Vista mit 5 Benutzer-accounts wäre es im Nanosekunden.

    • Ich glaube, Sie finden 99% der Poster hier sind Entwickler, die von einer Ebene oder einem anderen. Stoppen Sie klingen so pompös.
    • Ich benutze Ubuntu und es gibt nur einen Benutzer. Allerdings, wenn ich behaupte, dass das Passwort falsch es dauert 3 Sekunden für mich um eine Antwort zu bekommen. So, Sie sind falsch 🙂
    InformationsquelleAutor user368580
  11. 0

    Stimme ich zu. Das ist eine willkürliche Programmierung Entscheidung. Setzen Sie die Verzögerung auf eine Sekunde anstelle von drei nicht wirklich weh crackability das Passwort, sondern ermöglicht es, mehr Benutzer-freundlich.

    InformationsquelleAutor Jim
  12. 0

    Technisch absichtliche Verzögerung ist zu verhindern, dass Angriffe wie der "Linearisierung Angriff" (es gibt auch andere Angriffe und Gründe).

    Zur Veranschaulichung der Angriff, betrachten Sie ein Programm (ohne diese
    absichtliche Verzögerung), die überprüft, eine serial eingegeben, um zu sehen, ob es
    Spiele die richtige Serie, die in diesem Fall passiert zu sein
    "xyba"    . Für die Effizienz der Programmierer beschlossen zu prüfen, eine
    Zeichen in einer Zeit, und beenden, sobald ein Falsches Zeichen ist
    gefunden, bevor die Länge überprüft.

    Die richtige serielle Länge, dauert länger als eine falsche serial Länge. Noch besser (für die Angreifer), eine Seriennummer
    das hat die ersten richtigen Charakter wird länger dauern, als alle, die
    hat ein Falsches erstes Zeichen. Die aufeinanderfolgenden Schritte, die in der Wartezeit
    ist denn jedes mal gibt es eine weitere Schleife, Vergleich durch zu gehen
    auf korrekte Eingabe.

    • So, Angreifer können wählen, ein vier-Zeichen-string und dass der string beginnend mit x nimmt die meiste Zeit. (von guess-Arbeit)
    • Angreifer kann dann beheben Charakter als x und variieren das zweite Zeichen, in diesem Fall werden Sie feststellen, dass y dauert am längsten.
    • Angreifer können dann fix die ersten beiden Zeichen als xy und variieren das Dritte Zeichen, in diesem Fall werden Sie feststellen, dass b nimmt den
      längsten.
    • Angreifer können dann fix die ersten drei Zeichen als xyb und variieren der vierte Charakter,in welchem Fall Sie finden, dass eine nimmt den
      längsten.

    Damit, die Angreifer wiederherstellen können Sie die serial ein Zeichen zu einem Zeitpunkt.

    Linearization.java.

    Linearization.docx, sample-Ausgang

    Die Seriennummer ist vier Zeichen lang ist und jedes Zeichen hat 128
    mögliche Werte. Dann gibt es 1284 = 228 =
    268,435,456 möglich serials    . Wenn ein Angreifer muss nach dem Zufallsprinzip erraten
    vollständige Seriennummern, würde Sie erraten Sie die Seriennummer in etwa
    227 = 134,217,728 versucht, die eine enorme Menge an Arbeit,. Auf der anderen Seite, durch die Verwendung der Linearisierung Angriff über, ein
    durchschnittlich nur 128/2 = 64 Vermutungen sind erforderlich für jeden Brief, für einen
    insgesamt erwarteten Arbeit von etwa 4 * 64 = 28 = 256 Vermutungen,
    das ist eine triviale Menge an Arbeit.

    Viel geschrieben martial angepasst ist, von diese (übernommen von Mark Briefmarke ist die "Information Security: Principles and Practice"). Auch die Berechnungen berücksichtigen nicht die Menge der Vermutungen erforderlich, um herauszufinden, die richtige serielle Länge.

    InformationsquelleAutor Ashesh Kumar Singh
Schreibe einen Kommentar