Хто винайшов комп'ютерні паролі?

Хто винайшов комп'ютерні паролі?

Схоже на те, що паролі схожі, як мінімум, використовувались, як тільки люди зберігали історію. Наприклад, одна з найперших посилань на щось на зразок пароля згадується в Книзі суддів, яка вперше була записана приблизно в 6-му або 7-му столітті до н.е. Зокрема, він зазначає у суддів 12:

І взяли Ґілеяниї Йорданські переходи перед лицем Єфрема. І сталося, коли ті врятовані єфремляни сказали: Дай мені перейти; І сказали до нього Галіадські люди: Ти ти єфремлянин? Якщо він сказав: "Ні";

Тоді вони сказали до нього: Скажи тепер Шибболет, і він сказав Сібболе, бо він не міг рахувати, щоб сказати це правильно. Тоді вони узяв його, та й убив його в пасажах Йордану ...

Незначне пересилання в історію, і римські легіонери, як відомо, використовували просту систему паролів, щоб з'ясувати, чи чужий був другом або ворогом. Другий сторіччя до н.е. грецький історик Полібій навіть детально описує, як працювала система паролів, щоб переконатись, що всі знали, що такий поточний пароль:

... з десятого маніпуля кожного класу піхоти та кавалерії, манліль, що отаборився на нижньому кінці вулиці, вибирається людина, котра звільняється від стражового обов'язку, і він кожен день відвідує захід сонця у наметі трибуни , і одержавши від нього шаблон - це дерев'яна таблетка з написаним на ньому словом - відходить на відпустку, і, повернувшись до своїх кварталів, переходить на голову та таблетку перед свідками командира наступного маніпуля, який, у свою чергу, проходить це до наступного його. Всі вони роблять те ж саме, доки вони не досягають перших маніпуляцій, тих, що отаборилися біля наметів трибунів. Ці останні зобов'язані доставити таблетку до трибун до темряви. Отже, якщо повертатимуть всі випущені версії, трибуна знає, що слово було дано всім людям і пройшло через все на своєму шляху до нього. Якщо хто-небудь з них не вистачає, він одразу робить запит, як він знає, з позначень з того, який квартал планшет не повернувся, а хто несе відповідальність за зупинку, відповідає покаранню, який він заслуговує.

Римський історик Суетоній навіть згадує цезар, використовуючи простий шифр, який вимагав від одержувача знати ключ, у цьому випадку правильну кількість разів, щоб змінити алфавіт, розшифрувати це повідомлення.

Що стосується більш сучасних часів, то перший відомий екземпляр системи паролів на електронному комп'ютері був впроваджений нині відставним професором інформатики в Массачусетському технологічному інституті Фернандо Корбато. У 1961 році MIT мав величезний комп'ютер для обміну часом, який називався "Сумісна система обміну часом" (CTSS). Кореспондент заявив у своєму інтерв'ю в 2012 році: "Основною проблемою [з CTSS] було те, що ми створювали кілька терміналів, які повинні використовуватися кількома особами, але кожна особа має свій власний набір файлів. Встановлення пароля для кожного окремого користувача як замка виглядало як дуже просте рішення ".

Щось, що ми повинні згадати, перш ніж продовжувати, це те, що Corbota не поспішає брати на себе відповідальність за те, що він першим запровадив комп'ютерну систему паролів. Він припускає, що пристрій, побудований в 1960 році компанією IBM, назвав Semi-Automatic Business Research Environment (Sabre), який був (і як і раніше, в модернізованому вигляді), який використовувався для створення та підтримки бронювання проїзду, ймовірно, використовувалися паролі. Проте, коли до IBM було зв'язано про це, вони не були впевнені, чи спочатку система мала таку безпеку. І, як ніхто, здається, не має ніякого виживаючого запису про те, чи робив це, Corbato, здавалося б, загальновідомий, вважаючи першим, хто поставив таку систему на електронний комп'ютер.

Звичайно, проблема з цими ранніми прото-паролями полягає в тому, що всі вони зберігаються у звичайному тексті, незважаючи на розкривається проникнення в систему безпеки.

На цій ноті, у 1962 році студенту PHD під назвою Allan Scherr вдалося отримати CTSS для друку всіх паролів комп'ютера. Шерр зазначає,

Існував спосіб запросити файли для друку в автономному режимі, надіславши перфографічну картку з номером облікового запису та ім'ям файлу. Пізніше одну п'ятницю ввечері я подав запит на друк файлів паролів і дуже рано вранці вранці пішов у кабінет файлів, де були розміщені роздруківки ... Тоді я міг би продовжити мій стрибок машинного часу.

Це "занепокоєння" просто дало більше, ніж чотири години відведеного щоденного комп'ютерного часу, коли йому було надано.

Scherr потім поділився списком паролів, щоб перехитрити його участь у парочці даних. Адміністратори системи на той час просто думали, що десь там була помилка в системі паролів, і Scherr ніколи не був спійманий. Ми тільки знаємо, що він був відповідальним, бо він, як нерозумно зізнався майже півстоліття пізніше, саме той, хто це зробив. Цей невеликий недолік даних зробив його першою відомою людиною, щоб викрасти комп'ютерні паролі, щось піонером комп'ютера, здається, цілком пишається сьогодні.

Весело, за словами Scherr, деякі люди використовували паролі, щоб більше часу на машині запускати для моделювання і тому подібне, інші вирішили використовувати їх для входу в облікові записи людей, яких їм не подобається, просто залишити образливі повідомлення.Що просто показує, що, хоча комп'ютери, можливо, змінили багато за останні півстоліття, напевно, ні.

У будь-якому випадку, приблизно через 5 років пізніше, у 1966 році, CTSS знову зазнає серйозного порушення даних, коли випадковий адміністратор випадково переплутав файли, які відображали привітання кожному користувачеві та файлі майстер-пароля ... Ця помилка побачила кожен пароль, що зберігається машина відображається для будь-якого користувача, який намагався ввійти в CTSS. У документі, присвяченій п'ятдесятиріччю інженера CTSS Том Ван Влек, люб'язно нагадав про "Паролівний інцидент" і жарто зазначив про це: "Звичайно, це сталося о 5 годині вечора в п'ятницю, і мені довелося витрачати кілька непередбачених годин на зміну паролів людей".

Як спосіб обійти всю проблему простого текстового пароля, Роберт Моріс створив систему односторонньої шифрування для UNIX, яка, принаймні, зробила це теоретично, навіть якщо хтось може отримати доступ до бази даних паролів, вони не зможуть розповісти, що будь-який з паролів був. Звичайно, з досягненнями в області обчислювальної потужності та розумних алгоритмів потрібно було розробити ще більш розумні схеми шифрування ... і боротьба між експертами із захисту білих і чорних капелюшок вже давно йде далі і назад.

Все це призвело до того, що в 2004 році Білл Гейтс відзначив, що "[Паролі] просто не задовольняють проблему за все, що ти хочеш захистити".

Звичайно, найбільшою безпекою є, як правило, не алгоритми та програмне забезпечення, а самі користувачі. Як знаменитий творець XKCD, Рендалл Мунро, так нахабно поставив це: "Через 20 років зусиль ми успішно навчали всіх використовувати паролі, які важко пам'ятати людям, але комп'ютерах легко вгадати".

На цій ноті тренінгу для людей, щоб зробити погані паролі, винна в цьому, можна пояснити широко розповсюдженими рекомендаціями Національного інституту стандартів і технологій, опублікованих на сторінці токарів, який був восьми сторінок NIST Special Publication 800-63. Додаток А, написаний Біллом Буром у 2003 році.

Серед інших речей, Burr рекомендував використовувати слова з випадковими символами, заміненими в, в тому числі вимагаючи великих літер та цифр, а адміністраторам системи люди регулярно міняють свої паролі для максимальної безпеки ...

З цих, здавалося б, загальноприйнятих рекомендацій, нині відставний Берр заявив в інтерв'ю Wall Street Journal, "Багато чого з того, що я зробив, тепер я шкодую ..."

Щоб бути справедливим до Берра, дослідження, що стосуються психологічної сторони паролів людини, в основному не існувало в той час, коли він писав ці рекомендації, і, теоретично, його пропозиції, як мінімум, повинні бути набагато більш безпечними з точки зору обчислень, ніж використання звичайних слів .

Проблема з цими рекомендаціями зазначається Британським національним центром кібербезпеки (NCSC), який заявляє, що "це поширення використання пароля та все більш складні вимоги до паролів створює нереалістичний попит для більшості користувачів. Неминуче, користувачі зможуть спланувати свої власні механізми подолання "перевантаження паролем". Це включає в себе записування паролів, повторне використання одного пароля в різних системах або використання простих та передбачуваних стратегій створення паролів. "

З цієї точки зору, в 2013 році Google здійснив коротке вивчення паролів людей і зазначив, що більшість людей використовують один із наведених нижче в їх схемі паролів: ім'я або день народження тварини, члена сім'ї чи партнера; річниця або інша важлива дата; батьківщина; улюблене свято; щось робити з улюбленою спортивною командою; і, незрозуміле, слово пароль ...

Отже, в основному, більшість людей вибирають паролі, які базуються на інформації, яка легко доступна хакерам, які можуть у свою чергу порівняно легко створити алгоритм грубої сили, щоб зламати пароль.

На щастя, хоча ви, можливо, не знаєте це з повсякденності систем там, що все ще вимагає від вас найкращого враження від Will Hunting, щоб встановити пароль, більшість консультативних служб безпеки суттєво змінили свої рекомендації за останні кілька років.

Наприклад, вищезгаданий NCSC тепер рекомендує, серед іншого, системним адміністраторам заборонити користувачам змінювати паролі, якщо не існує відомого порушення пароля в системі, як "Це накладає тягар на користувача (хто, швидше за все, вибере нові паролі, які є лише незначні варіанти старого) і не має реальних переваг ... "Далі відзначаючи, що дослідження показали, що" регулярний зміна пароля шкодить, а не покращує безпеку ... "

Або як фізики та видатний комп'ютерник, доктор Алан Вудворд із Університету Суррей зазначає: "чим частіше ви просите когось змінити свій пароль, тим слабкіші паролі вони, як правило, вибирають".

Аналогічним чином, навіть абсолютно випадковий набір символів із типовими довжинами вимоги до пароля є відносно сприйнятливим до атак грубої сили без додаткових заходів безпеки. Таким чином, Національний інститут стандартів і технологій також оновив свої рекомендації, тепер заохочуючи адміністраторів, щоб люди зосередили увагу на довгих, але простих паролях.

Наприклад, пароль, такий як "Мій пароль дуже легко запам'ятати", як правило, буде набагато безпечнішим, ніж "[email protected] @ m3! 1" або навіть "* ^ sg5! J8H8 * @ #! ^ "

Звичайно, під час використання таких фраз легко усвідомлювати речі, він все ще не усуває проблему, здається, щотижневим виникненням деяких серйозних служб, з якими було зламано їх базу даних, при цьому згадані системи іноді використовують слабке шифрування або навіть взагалі ніяких у своїх зберігання особистих даних і паролів, таких як нещодавній випадок Equifax, в якому було виявлено 145,5 мільйонів людей у ​​США, мають доступ до своїх особистих даних, включаючи повні імена, номери соціального страхування, дати народження та адреси. (Через ставку Equifax також зазначив, що близько 15 мільйонів громадян Великобританії також зазнали крадіжки їх записів).

У відтінках першого колись згадуваного раніше пароля, який вимагав, щоб Scherr просто надіслав запит на друк паперового файлу, він отримує доступ до величезної кількості особистих даних магазинів Equifax для людей, - сказав анонімний експерт із комп'ютерної безпеки Материнська плата"Все, що вам потрібно було зробити, було помістити в пошуковий термін і отримати мільйони результатів, миттєво - у вигляді чіткого тексту через веб-програму".

Так ...

Через це Національний центр кібербезпеки також зараз рекомендує адміністраторам закликати людей використовувати програмне забезпечення для керування паролями, щоб збільшити ймовірність того, що люди використовують різні паролі для різних систем.

Врешті-решт, жодна система ніколи не буде повністю захищена, незалежно від того, наскільки добре вона була розроблена, привівши нас до трьох золотих правил комп'ютерної безпеки, написаних вищезгаданим знаменитим криптографом Робертом Моррісом: "не володіють комп'ютером; не вмикай його; і не використовуйте його ".

Бонусний факт:

  • В епоху життя всіх людей, які зберігаються в Інтернеті на серверах різних компаній, як правило, всі захищені паролями, Лондонський університет зазначив у недавньому дослідженні, що близько 10% людей зараз складають список своїх загальних паролів за своїми бажаннями робити що люди зможуть отримати доступ до своїх даних і рахунків після смерті. Цікаво, що проблема людей, які фактично не роблять цього, відзначається як така, що викликала серйозну проблему після атак 11 вересня. Наприклад, колишній керівник компанії "Кантор Фіцджеральд" Говард Лутнік зазначив, що його досить нездійсненне завдання - відстежити паролі майже 700 працівників, які померли під час атаки. Через те, наскільки важливо було, щоб компанія мала доступ до своїх файлів відразу ж до відкриття ринку вечірніх облігацій, він і його співробітники повинні були зателефонувати близьким померлих, щоб запитати паролі або те, що можуть бути паролі того самого дня ... На щастя, для компанії більшість паролів працівників базувалися на вищезгаданих недосконалих рекомендаціях Білла Берра - "J3r3my!". Це, у поєднанні з особливими особистими відомостями зі своїх близьких, зібрав Лутнік, дозволив команді, відправленій компанією Microsoft, відносно легко зламати невідомий паролі через грубу силу в короткий термін.

Залиште Свій Коментар

Популярні Пости

Вибір Редакції

Категорія