在 Linux 上,每当我提供错误的密码时,我都必须等待 3 秒钟。我觉得这很烦人,更喜欢 Windows 默认设置:直到第五次失败才延迟,然后延迟 15 秒或类似的时间。
有没有办法在 pam_unix 中设置 nodelay 选项,但每 5 次失败尝试启用延迟?
而且,有时我会打开CAPSLOCK。如果身份验证器 (1) 注意到这一点并反转大写,或者 (2) 如果实际或反转的大写与密码匹配,则登录,那就太好了。
两者都有效地增加了密码搜索空间:使用较长的密码更为合理,因为如果大写锁定错误不是问题,并且预期的等待时间也会减少,那么错误输入较长密码的机会就不会那么烦人。
答案1
nodelaypam_unix 手册页中有一个选项。听起来很有希望消除每次尝试的延迟。我认为你不能每 5 次尝试就延迟一次,但标准做法是无论如何在 3-5 次尝试后锁定。你必须用类似的东西来完成这个pam_faillock或者pam_tally2。
nodelay This argument can be used to discourage the authentication component from requesting a delay should the authentication as a whole fail. The default action is for the module to request a delay-on-failure of the order of two second.