Почему проверка логина занимает больше времени, если пароль неверный?

Question

Возможный дубликат:
Почему попытка неверного пароля займет намного больше времени, чем корректный?

Я заметил, что при запуске Windows и запросе пароля, если вы вводите правильный пароль, он сразу входит в систему, но если введенные учетные данные неверны, вам придется подождать несколько секунд, чтобы получить отрицательный ответ.

Таким образом, я могу сказать, набрал ли я опечатку задолго до того, как система даст мне ответ, просто по количеству времени, которое я должен ждать.

В чем причина такого поведения?

Моим лучшим предположением будет то, что система делает дополнительные проверки данных учетной записи в разных местах (сети?) если не найдено подходящих данных для входа

Answer 1

Чтобы снизить скорость, с которой вы можете угадать неправильные пароли.

По умолчанию это только защита Windows от грубого взлома пароля.

Answer 2

Если ваш компьютер является членом домена, он локально кэширует хэш ваших учетных данных, так что вы можете войти в систему, когда сервер домена недоступен (или ваш ноутбук находится вне офиса и т.д.) Однако, если введенный пароль не соответствует сохраненному хешу, ваш компьютер должен обратиться к серверу домена, так как ваш пароль мог быть изменен в другом месте (на другом компьютере).

Есть отличная запись в блоге Раймонда Чена, в которой обсуждается эта проблема. Он также говорит, что:

Другая причина, по которой недействительные пароли требуют больше времени для отклонения, заключается в снижении эффективности атак по словарю. Если неверные пароли были отклонены так же быстро, как были приняты действительные пароли, то злоумышленник мог просто набрать словарь, пробуя неправильные пароли на высокой скорости.