为什么 mac 输入正确的密码 就会很快登陆，错误密码就要等一会才能提示出来错误了，计算时间不应该一样吗?

几年前发现这个问题，联系客服无解。

后来我将密码改为一位数一直延续到现在，输错的几率几乎为 0 ，对了，我的密码就是 0 🐶

Linux 也是，好奇但没了解过。给自己的理由是密码错误触发安全审计，需要记录日志产生了开销

故意的，防止暴力破解，Windows 也有类似机制。另外在 Windows 上计算时间不一样的，因为还有域控制之类的情况，macOS 应该也类似。

防爆破，设计使然。

想象一个攻击者可以用光速输入密码

降低暴力破解的速度。
windows 登录错了几次后也会停顿一段时间后允许再次输入。

大概是为了防范计时攻击

防爆破机制（还能部分防熊孩子）
印象里 win10 好像也有类似的设计

linux 也这样，不知道为啥

找到一篇文章，似乎可以修改时间 https://www.stigviewer.com/stig/apple_os_x_10.13/2018-10-01/finding/V-81721
苹果官方的文档只提到服务器版 macOS 修改方式。
Windows 10 搜索 Account Autolock Duration ，可以找到官方文档。

js 版实现：Math.random + setTimeout 🐶

这是防止暴力破解.

为了防止《计时攻击 Timing Attacks 》？ https://coolshell.cn/articles/21003.html

win10 下 我用的 pin 而且当错误次数超过十来次的时候 接受的就不再是 pin 或密码了 必须输入 A0B2C3(好像是这样) 才能继续恢复

防止暴力破解。我想过这个问题，觉得是这样（没看过源码），如果从用户的角度会觉得难以理解，我多次输入错误按正常间隔让你重试，然后再禁你一段时间，比较符合我们的思考习惯，但估计从实现的角度，输入错误直接延时一下再让你输，写起来就很简单根本不用记录你前几次的操作，也实现了暴力尝试的频率

有一种攻击方式是时序攻击

最简单的例子就是，假设密码是明文比对而不是 hash
比对的时候把两个字符串按照顺序一个一个字符检查，发现不一致就返回错误
这个时候如果对输入错误密码的返回时间进行测量，在最好的情况下可以很快的试出密码

@felixcode windows 还会让你输入 112233 这样的东西看你是不是真人在输入密码。

@shiji ……那是为了防误触，哪有 captcha 长那样

我觉得就是慢哈希，但计算量这个参数设计成了一个区间，这样或许就更安全了？

@shiji 应该直接引入 hCaptcha 然后操作系统就可以赚钱了