কেন একটি ভুল পাসওয়ার্ড চেষ্টা একটি সঠিকটির চেয়ে প্রক্রিয়া করতে অনেক বেশি সময় নিতে পারে?

এসএসএইচ-ইন-কাজ করার সময় আমি সবচেয়ে সুনির্দিষ্ট স্থানটি এটি লক্ষ্য করেছি তবে আমার মনে হয় আমি অন্য কোথাও এই আচরণটি পর্যবেক্ষণ করেছি।

আমি যখন আমার উইন্ডোজ ডেস্কটপ থেকে লিনাক্স সার্ভারগুলিতে লগ ইন করার চেষ্টা করি তখন আমি লক্ষ্য করেছি যে আমি যদি আমার পাসওয়ার্ডটি ভুল টাইপ করি তবে আমার "অ্যাক্সেস অস্বীকৃত" ফিরে আসার আগে এটি খুব ভাল 5 সেকেন্ড বা তার বেশি সময় নেয়। তারপরে যখন আমি আমার পাসওয়ার্ডটি সঠিকভাবে টাইপ করি তখন লগইন (স্বাগত বার্তাগুলি সহ) কার্যত তাত্ক্ষণিক হয়।

এটির জন্য কোনও যৌক্তিক কারণ রয়েছে, বা এটি এখানে কাজ করা মেশিনগুলির সাথে নির্দিষ্ট কিছু বিজোড় কনফিগারেশন থেকে যাবে?

একটি শক্তিশালী আক্রমণ আক্রমণ সফল করার জন্য এটি আরও শক্ত করার জন্য সম্ভবত একটি কৃত্রিম সময়সীমা রয়েছে।

আপনি সুরক্ষিত প্রমাণীকরণ জড়িত এমন অনেক লগইন প্রম্পটে এটি দেখতে পাবেন ...

বর্বর বাহিনীর আক্রমণ প্রতিরোধে এটি কিছু উদ্দেশ্যযুক্ত বিলম্ব। দীর্ঘতর বিলম্ব হ'ল আক্রমণকারীটি ব্যবহারকারীর নাম এবং ভুল পাসওয়ার্ডের মধ্যে পার্থক্যটি অনুমান করতে সক্ষম হয় না (হ্যাশিং এবং পাসওয়ার্ড পরীক্ষা করে ব্যবহারকারীর নাম পরীক্ষা করার চেয়ে বেশি সময় লাগে)।

প্রযুক্তিগতভাবে, এই ইচ্ছাকৃত বিলম্ব হ'ল "লিনিয়ারাইজেশন আক্রমণ" এর মতো আক্রমণগুলি প্রতিরোধ করা (অন্যান্য আক্রমণ এবং কারণগুলিও রয়েছে) ।

আক্রমণটিকে চিত্রিত করার জন্য, একটি প্রোগ্রাম বিবেচনা করুন (এই ইচ্ছাকৃত দেরি না করে), যা কোনও প্রবেশ সিরিয়ালটি সঠিক সিরিয়ালের সাথে মেলে কিনা তা দেখার জন্য এটি পরীক্ষা করে দেখুন, যা এই ক্ষেত্রে " জাইবা " হিসাবে দেখা যায় । দক্ষতার জন্য, প্রোগ্রামারটি একবারে একটি অক্ষর পরীক্ষা করার সিদ্ধান্ত নিয়েছে এবং কোনও ভুল চরিত্রের সন্ধান পাওয়া মাত্রই বেরিয়ে যাওয়ার সিদ্ধান্ত নিয়েছে, শুরু করার আগে দৈর্ঘ্যগুলিও পরীক্ষা করা হয়।

সঠিক সিরিয়াল দৈর্ঘ্য একটি ভুল সিরিয়াল দৈর্ঘ্যের চেয়ে প্রক্রিয়া করতে আরও বেশি সময় নেবে। আরও ভাল (আক্রমণকারীর জন্য), একটি সিরিয়াল নম্বর যার প্রথম অক্ষরটি সঠিক রয়েছে এটির জন্য প্রথমটির অক্ষরের চেয়ে বেশি সময় লাগবে। অপেক্ষার সময়ের ধারাবাহিক পদক্ষেপগুলি হ'ল প্রতিবারের জন্য আরও একটি লুপ রয়েছে, সঠিক ইনপুটটিতে যাওয়ার তুলনা।

• সুতরাং, আক্রমণকারী একটি চার-অক্ষরের স্ট্রিং নির্বাচন করতে পারে এবং এক্স দিয়ে শুরু হওয়া স্ট্রিংটি বেশিরভাগ সময় নেয়। (অনুমান কাজ দ্বারা)
• আক্রমণকারী তারপরে এক্স হিসাবে অক্ষর ঠিক করতে পারে এবং দ্বিতীয় চরিত্রের পরিবর্তিত হতে পারে, এক্ষেত্রে তারা দেখতে পাবে যে y দীর্ঘতম সময় নেয়।
• আক্রমণকারী তারপরে প্রথম দুটি অক্ষরকে xy হিসাবে ঠিক করতে পারে এবং তৃতীয় অক্ষরটি পরিবর্তিত করতে পারে, সেই ক্ষেত্রে তারা দেখতে পাবে যে খ দীর্ঘতম সময় নেয়।
• আক্রমণকারী তারপর যেমন প্রথম তিন অক্ষর ঠিক করতে পারবো xyb ও চতুর্থ চরিত্র, যে ক্ষেত্রে তারা দেখবেন যে পরিবর্তিত হতে একটি দীর্ঘতম লাগে।

সুতরাং, আক্রমণকারীরা একবারে সিরিয়ালটির একটি চরিত্র পুনরুদ্ধার করতে পারে।

Linearization.java।

Linearization.docx, নমুনা আউটপুট

ক্রমিক সংখ্যাটি চারটি অক্ষর দীর্ঘ উত্তর প্রতিটি চরিত্রের 128 সম্ভাব্য মান রয়েছে। তারপরে 128 ⁴ = 2 ²⁸ = 268,435,456 সম্ভাব্য সিরিয়াল রয়েছে । যদি আক্রমণকারী অবশ্যই এলোমেলোভাবে সম্পূর্ণ সিরিয়াল নম্বর অনুমান করতে পারে তবে তিনি সিরিয়াল নম্বরটি প্রায় ২ ²⁷ = 134,217,728 টি চেষ্টা করে অনুমান করতে পারবেন , এটি একটি বিশাল পরিমাণের কাজ । অন্যদিকে, উপরে রৈখিককরণ আক্রমণ ব্যবহার করে, প্রতিটি চিঠির জন্য গড়ে প্রায় 128/2 = 64 অনুমান প্রয়োজন , প্রায় 4 * 64 = 2 ⁸ = 256 অনুমানের মোট প্রত্যাশিত কাজের জন্য , যা একটি তুচ্ছ পরিমাণ কাজ এর.

লিখিত সামরিক বেশিরভাগটাই থেকে অভিযোজিত হয় এই (মার্ক স্ট্যাম্প এর ": প্রিন্সিপালস অ্যান্ড প্র্যাকটিস তথ্য নিরাপত্তা" থেকে নেওয়া)। এছাড়াও উপরের গণনাগুলি সঠিক সিরিয়ালের দৈর্ঘ্য বের করার জন্য প্রয়োজনীয় অনুমানের পরিমাণ বিবেচনা করে না।