¿Por qué tarda más tiempo en que una computadora responda a una contraseña incorrecta frente a una correcta?
¿Alguna vez ingresó la contraseña incorrecta en su computadora por accidente y se dio cuenta de que tarda unos minutos en responder en comparación con ingresar la correcta? ¿Porqué es eso? La publicación de preguntas y respuestas de SuperUser de hoy tiene la respuesta a la pregunta de un lector curioso.
La sesión de Preguntas y Respuestas de hoy nos llega por cortesía de SuperUser, una subdivisión de Stack Exchange, un grupo de sitios web de preguntas y respuestas impulsado por la comunidad..
Captura de pantalla cortesía de sully213 (Flickr).
La pregunta
El usuario del Superusuario 353548 desea saber por qué hay un tiempo de respuesta más largo cuando se ingresa una contraseña incorrecta:
Cuando ingresa una contraseña y es correcta, el tiempo de respuesta es prácticamente instantáneo. Pero cuando ingresa una contraseña incorrecta (por accidente o por haber olvidado la correcta), toma un tiempo (10-30 segundos) antes de responder que la contraseña es incorrecta..
¿Por qué se tarda tanto (relativamente) en decir que la contraseña es incorrecta? Esto siempre me ha molestado al ingresar contraseñas incorrectas en sistemas Windows y Linux (regular y basado en VM). No estoy seguro de Mac OSX ya que no recuerdo si es el mismo (ha pasado un tiempo desde que usé una Mac por última vez).
Estoy preguntando en el contexto de un usuario que inicia sesión en el sistema físicamente en la ubicación en lugar de hacerlo a través de SSH que posiblemente podría utilizar mecanismos algo diferentes para iniciar sesión (validar credenciales).
¿Por qué hay un tiempo de respuesta más largo cuando ingresa una contraseña incorrecta??
La respuesta
Michael Kjorling, colaborador de Superusuarios, tiene la respuesta para nosotros:
¿Por qué se tarda tanto (relativamente) en decir que la contraseña es incorrecta??
No es asi. O, más bien, no le toma más tiempo a la computadora determinar que su contraseña es incorrecta en comparación con ser correcta. El trabajo involucrado para la computadora es, idealmente, exactamente el mismo. Cualquier esquema de verificación de contraseña que tome una cantidad diferente de tiempo en función de si la contraseña es correcta o incorrecta puede ser aprovechado para obtener un conocimiento de la contraseña, por pequeño que sea, en menos tiempo del que sería el caso..
La demora es una demora artificial que impide que los intentos repetidos de obtener acceso mediante el uso de diferentes contraseñas sean inviables, incluso si tiene alguna idea de qué es la contraseña y el bloqueo automático de la cuenta está deshabilitado (lo que debería ocurrir en la mayoría de los escenarios, ya que de otro modo permitiría una denegación de servicio trivial contra una cuenta arbitraria).
El término general para este comportamiento es tarpitting. Mientras que el artículo de Wikipedia habla más sobre el objetivo de los servicios de red, el concepto es genérico.. Lo viejo y nuevo tampoco es una fuente oficial, pero el artículo "¿Por qué demora más en rechazar una contraseña no válida que en aceptar una válida?" habla de esto (cerca del final del artículo).
¿Tienes algo que agregar a la explicación? Apaga el sonido en los comentarios. ¿Quieres leer más respuestas de otros usuarios de Stack Exchange con experiencia en tecnología? Echa un vistazo a la discusión completa aquí.