我注意到,在启动 Windows 并提示输入密码时,如果输入正确的密码,它会立即登录,但如果输入的凭据错误,则必须等待几秒钟才能得到否定答复。
这样,我可以在系统给出答案之前,通过等待的时间来判断我是否输入错误。
这种行为的原因是什么?
我最好的猜测是,如果没有找到匹配的登录数据,系统会对不同位置(网络?)的帐户数据进行额外检查。
答案1
降低您猜错密码的速度。
默认情况下,这是 Windows 唯一的保护措施,可防止您暴力破解密码。
答案2
如果你的计算机是域成员,它会缓存你的登录凭据'哈希本地,因此您可以在域服务器不可用时登录(或者您的笔记本电脑不在办公室等)。但是,如果输入的密码与存储的哈希不匹配,您的计算机必须咨询域服务器,因为您的密码可能已在其他地方(在另一台计算机上)更改。
有一个优秀的博客文章Raimond Chen 的一篇文章讨论了这个问题。他还说:
无效密码需要更长时间才能被拒绝的另一个原因是降低字典攻击的有效性。如果无效密码被拒绝的速度与有效密码被接受的速度一样快,那么坏人就可以快速翻阅字典,尝试使用无效密码。