在这个问题中:为什么输入错误的密码会有延迟?密码输入错误会导致sudo出现1-2秒超时,从而使破解尝试变得更加困难。
这让许多用户感到烦恼,这真的是解决问题的方法吗?
是什么使攻击者无法并行运行数千个sudo实例并每秒测试数千个不同的密码?超时并不能阻止这种情况。
延迟不只是使暴力攻击更加困难。这也与信息泄漏有关。多年前,有一个著名的SunOS漏洞利用,它通过查看命令返回的速度来知道密码是否错误。
安全攻击通常不依赖单个矢量,而是以有趣的方式组合矢量以利用小错误或疏忽。
掩盖攻击者的善意与错误尝试,可以减少整体攻击面。这是正确的事情。
如果您不喜欢它,则可以使用其他身份验证方法。
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句