انجمن‌های فارسی اوبونتو

کمک و پشتیبانی => انجمن عمومی => نویسنده: afrod در 26 بهمن 1392، 08:07 ب‌ظ

عنوان: ریسپانس به پسورد درست: بلافاصله، اما نمایش پیغام خطا برای پسورد نادرست:‌ زمانبر!
ارسال شده توسط: afrod در 26 بهمن 1392، 08:07 ب‌ظ: در زمان لاگین به دسکتاپ یا رفتن به کاربر ادمین در ترمینال اگر پسورد اشتباهی زده بشه، کمی زمان میبره (در حدود چند ثانیه) تا سیستم پیغام بده که پسورد اشتباه بود اما وقتی پسورد رو درست وارد می کنیم سریعا سیستم جواب می ده و مثلا اگر در ترمینال باشیم سریع نوع کاربر به ادمین تغییر میکنه.
علت این تفاوت چیه: مکث چند ثانیه ای روی پسورد اشتباه در مقابل ریسپانس سریع به پسورد درست؟
عنوان: پاسخ : ریسپانس به پسورد درست: بلافاصله، اما نمایش پیغام خطا برای پسورد نادرست:‌ زمانبر!
ارسال شده توسط: امین - am1n در 26 بهمن 1392، 08:34 ب‌ظ: نقل‌قول از: dorfa در 26 بهمن 1392، 08:07 ب‌ظ
در زمان لاگین به دسکتاپ یا رفتن به کاربر ادمین در ترمینال اگر پسورد اشتباهی زده بشه، کمی زمان میبره (در حدود چند ثانیه) تا سیستم پیغام بده که پسورد اشتباه بود اما وقتی پسورد رو درست وارد می کنیم سریعا سیستم جواب می ده و مثلا اگر در ترمینال باشیم سریع نوع کاربر به ادمین تغییر میکنه.
علت این تفاوت چیه: مکث چند ثانیه ای روی پسورد اشتباه در مقابل ریسپانس سریع به پسورد درست؟

جالبته ...
- در واقع تاخیری برای درست یا غلط بودن پسورد وجود نداره، یه delay که معمولا ۳ ثانیه هست ( توی etc/ تنظیم میشه این عدد) ایجاد می‌کنن برای اینکه جلوی brute-force روو بگیرن. تصور کن اگر یه برنامه می‌تونست پسورد generate کنه و تند تند چک بکنه.

- قبلا یه جا خونده بودم که پسوردی رو (یه وب‌سایت بود اگه اشتباه نکنم !!! ) به یا روش خیلی جالب پیدا کرده بودن. به این صورت که یه سری حروف تولید می‌کردن و به برنامه یا همون سایت می‌دادن و زمان دقیق پاسخ اون سایت ( در حد میلی یا میکرو ثانیه !!‌ ) رو حساب می‌کردن. بعد به این خاطر که برای چک کردن پسورد از عملیات بیت وایز استفاده می‌شده، تایمی که حرف اول پسورد اشتباه باشه کمتر از تایمی هست که حرف پنجم اشتباهه !! به همین روش تونستن حرف به حرف پسورد رو در پیدا کنن ( البته با تعداد بسیار زیاد تکرار این عملیات چون یه کار آماری-احتمالی به حساب میاد)
پس اگه یه delay داشته باشیم به هیچ وجه نمیشه این دو تا روش رو روی سیستم اجرا کرد : )

-
عنوان: پاسخ : ریسپانس به پسورد درست: بلافاصله، اما نمایش پیغام خطا برای پسورد نادرست:‌ زمانبر!
ارسال شده توسط: Masoud92m در 26 بهمن 1392، 08:43 ب‌ظ: نقل‌قول
- قبلا یه جا خونده بودم که پسوردی رو (یه وب‌سایت بود اگه اشتباه نکنم !!! ) به یا روش خیلی جالب پیدا کرده بودن. به این صورت که یه سری حروف تولید می‌کردن و به برنامه یا همون سایت می‌دادن و زمان دقیق پاسخ اون سایت ( در حد میلی یا میکرو ثانیه !!‌ ) رو حساب می‌کردن. بعد به این خاطر که برای چک کردن پسورد از عملیات بیت وایز استفاده می‌شده، تایمی که حرف اول پسورد اشتباه باشه کمتر از تایمی هست که حرف پنجم اشتباهه !! به همین روش تونستن حرف به حرف پسورد رو در پیدا کنن ( البته با تعداد بسیار زیاد تکرار این عملیات چون یه کار آماری-احتمالی به حساب میاد)
پس اگه یه delay داشته باشیم به هیچ وجه نمیشه این دو تا روش رو روی سیستم اجرا کرد : )

خوب اگه زمان delay ثابت باشه، اون زمان اختلاف میشه زمان delay به اضافه اون اختلاف زمان بر حسب میکرو ثانیه ! این روش دوم زمانی از بین میره که delay دینامیک باشه
البته زمان کرک کردن پسورد رو اضافه میکنه و در این صورت مفیده !
عنوان: پاسخ : ریسپانس به پسورد درست: بلافاصله، اما نمایش پیغام خطا برای پسورد نادرست:‌ زمانبر!
ارسال شده توسط: امین - am1n در 26 بهمن 1392، 08:53 ب‌ظ: نقل‌قول از: Masoud92m در 26 بهمن 1392، 08:43 ب‌ظ
خوب اگه زمان delay ثابت باشه، اون زمان اختلاف میشه زمان delay به اضافه اون اختلاف زمان بر حسب میکرو ثانیه ! این روش دوم زمانی از بین میره که delay دینامیک باشه
البته زمان کرک کردن پسورد رو اضافه میکنه و در این صورت مفیده !

آره در کل که هدفش معلومه واسه delay دادنه . روش دوم هم فقط من به عنوان یه خبر جالب خونده بودم( به احتمال زیاد یه کار ازمایشی بوده دیگه )
عنوان: پاسخ : ریسپانس به پسورد درست: بلافاصله، اما نمایش پیغام خطا برای پسورد نادرست:‌ زمانبر!
ارسال شده توسط: جادی در 27 بهمن 1392، 03:25 ب‌ظ: بنا به تنظیمات این تاخیر ممکنه به خاطر چک کردن منابع دیگه هم باشه. یعنی پسورد اول توی فایل /etc/shadow چک می شه و اگر بود لاگین می شی ولی اگر نبود ممکنه سرور درخواستی بزنه به مثلا ldap و مکانیزم های پیچیده تر لاگین رو برای اون سرور چک کنه.