passwd fa una pausa dopo aver inserito una password errata


1

Supponi di digitare passwd e di inserire la password errata. C'è un notevole ritardo tra quando ti dice che la password non è buona e quando la inserisci. Qualche idea sul perché? Sembra un po 'strano ...

Ecco il messaggio che ricevo quando inserisco una password errata è il seguente:

passwd: Authentication token manipulation error
passwd: password unchanged

Forse sta tentando di proteggere dai tentativi di forza bruta riducendo la velocità con cui si possono provare nuove password?

Ad ogni modo c'è qualche discussione su questo comportamento da qualche parte? Non vedo nessuna nota nella pagina man ..

Risposte:


5

Sì, il ritardo è una protezione contro la forza bruta ed è di circa 3 secondi.

Il motivo per cui non appare nell'uomo passwd, è perché è controllato dal backend di autenticazione - di solito pam.

man pam_unix

Indica che puoi impostare a nodelayper eliminare il ritardo. È inoltre possibile impostare ritardi specifici per le applicazioni inpam_faildelay

man pam_faildelay

Queste impostazioni sono tutte gestite

/etc/pam.d/*

6

Sì, questo serve a prevenire attacchi di forza bruta.

Una password alfanumerica di 6 caratteri può avere fino a 36 bit di entropia (6 bit per carattere). Se un computer può controllare 1 miliardo di password al secondo, occorreranno solo 2 ^ 36 / 1 billion = 69pochi secondi per provare tutte le possibili password. Un ritardo di un secondo significa che è possibile provare una sola password al secondo. Cercare tutte le password possibili richiederebbe 2179 anni ora ...

Il ritardo non è gestito da passwd stesso, ma dai moduli di autenticazione collegabili .

Il ritardo può essere disabilitato per passwd aggiungendo l'opzione nodelayalla linea

password        [success=2 default=ignore]      pam_unix.so obscure sha512

in /etc/pam.d/common-password. Poiché ciò influirebbe anche su tutti gli altri programmi che utilizzano quel file di configurazione, è possibile copiarlo /etc/pam.d/passwde disabilitare il ritardo solo lì.

Vedi anche: man pam_unix

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.