Warum erkennt Software Angriffe zum Knacken von Passwörtern nicht automatisch und vereitelt sie?
Lange Version:
Angenommen, jemand versucht, Brute-Force-Passwörter zu knacken Angriff auf ein Programm XYZ, für das eine Kennwortauthentifizierung erforderlich ist.
Nach meinem Verständnis würde ein solcher Angriff darin bestehen, die Menge "aller möglichen Kennwörter" zu durchlaufen und jeweils nacheinander an XYZ zu senden, bis eines davon funktioniert . Damit diese Strategie eine Erfolgswahrscheinlichkeit hat, muss der Angreifer in der Lage sein, XYZ sehr viele Kandidatenpasswörter pro Sekunde zu liefern. Daher wäre es trivial, XYZ so zu programmieren, dass dieses Muster erkannt wird (dh es unterscheidet sich von dem Fall, in dem ein legitimer Benutzer das richtige Kennwort einige Male falsch eingibt) und die Authentifizierungsanforderung automatisch für die nächsten beispielsweise 10 Minuten zu eskalieren.
Die Idee ist, dass der Eigentümer von XYZ zwei "Passwörter" festlegen darf: ein "Level 1-Passwort" (AKA "das pass Wort i > ") das ist relativ leicht zu merken und leicht zu tippen, aber auch relativ leicht mit brutaler Gewalt zu knacken, und ein" Level 2 Passwort "(AKA" die Pass Phrase i> "), das extrem sein könnte lang, unmöglich mit brutaler Gewalt zu knacken, aber auch sehr unpraktisch für den (legitimen) täglichen Gebrauch.
Jemand, der das bequeme, aber schwache Passwort kannte i>, würde es kaum jemals brauchen Verwenden Sie die nicht knackbare, aber unbequeme Pass-Phrase i>.
Ich bin sicher, dass dieses Schema einen großen Fehler aufweist, da sonst Passwörter den legitimen Benutzern nicht die Kopfschmerzen bereiten würden, die es ist. Was ist die Erklärung?