Кто изобрел компьютерные пароли?

2024 Автор: Sherilyn Boyd | [email protected]. Последнее изменение: 2024-01-16 10:17

И Галаадитяне взяли проходы Иордана перед Ефремитянами, и было так, что, когда те спасенные эфраимы сказали: «Позволь мне идти; что жители Галаада сказали ему: ты ли Ефрем? Если он сказал: Нет;

Тогда сказали ему: скажи сейчас Шибболет, и он сказал Сибболет: потому что он не мог представить, чтобы произнести это правильно. Затем они взяли его и убили в проходах Иордана …

Известно, что быстрое перебронирование бит в истории и римские легионеры использовали простую систему кодовых фраз, чтобы определить, был ли незнакомец другом или противником. Второй век до н.э. Греческий историк Полибий даже подробно описывает, как работает система паролей, чтобы убедиться, что все знают, что такое текущий пароль:

… из десятого помощника каждого класса пехоты и кавалерии, который находится в лагере на нижнем конце улицы, выбирается человек, освобожденный от караула, и каждый день посещает его на закате в палатке трибуны, и получая от него лозунг - деревянную табличку со словом, начертанным на ней - уходит, и, возвращаясь в свою комнату, переходит к лозунгу и табличке перед свидетелями командиру следующего манежа, который, в свою очередь, это к следующему ему. Все поступают так же, пока не достигнут первых манипуляций, тех, кто расположился у палаток трибунов. Эти последние обязаны доставлять планшету на трибуны до наступления темноты. Так что, если все выданные возвратятся, трибуна знает, что лозунг был передан всем манипуляторам и прошел через все на обратном пути к нему. Если какой-либо из них отсутствует, он делает запрос сразу, поскольку он знает по отметкам с того квартала, что таблетка не вернулась, и тот, кто несет ответственность за остановку, встречается с наказанием, которое он заслуживает.

Римский историк Сутоний даже упоминает Цезаря, используя простой шифр, который требовал, чтобы получатель знал ключ, в этом случае правильное количество раз, чтобы сдвинуть алфавит, чтобы расшифровать сообщение.

Что касается более современных времен, то первый известный пример системы паролей на электронном компьютере был реализован в настоящее время отставным профессором информатики Массачусетского технологического института Фернандо Корбато. В 1961 году в Массачусетском технологическом институте был гигантский компьютер для совместного использования времени, называемый совместимой системой разделения времени (CTSS). В интервью 2012 года Корбато заявил: «Основная проблема [с CTSS] заключалась в том, что мы создавали несколько терминалов, которые должны были использоваться несколькими лицами, но с каждым человеком, имеющим свой собственный набор файлов. Включение пароля для каждого отдельного пользователя в виде блокировки казалось очень простым решением ».

Что-то, о чем мы должны упомянуть, прежде чем продолжить, заключается в том, что Корбота не хочет брать на себя ответственность за то, что он первым применил компьютерную систему паролей. Он предлагает, чтобы устройство, построенное в 1960 году IBM, называлось Semi-Automatic Business Research Environment (Sabre), которое было (и все еще находится в обновленной форме), используемое для создания и поддержания резервирования путешествия, вероятно, использовало пароли. Однако, когда об этом связались с IBM, они не были уверены, что система изначально имела такую безопасность. И, как кажется, никто не знает, сохранилось ли это, Корбато, по-видимому, получил всеобщее признание за то, что он первым поставил такую систему на электронный компьютер.

Конечно, проблема с этими ранними прото-паролями заключается в том, что все они были сохранены в обычном тексте, несмотря на открывающееся отверстие безопасности, которое это вводит.

В этой заметке, в 1962 году, студент PHD под названием Allan Scherr сумел заставить CTSS распечатать все пароли компьютера. Заметки Шерра,

Был способ запросить распечатку файлов в автономном режиме, отправив перфокарту с номером учетной записи и именем файла. Поздно вечером в пятницу я отправил запрос на печать файлов паролей, и очень раннее субботнее утро отправилось в файловый кабинет, где были распечатаны распечатки … Затем я мог продолжить свое воровство машинного времени.

Этот «воровство» просто получал больше, чем четыре часа отведенного ежедневного компьютерного времени, которое ему было предоставлено.

Затем Шерр поделился списком паролей, чтобы запутать его участие в сборе данных. Системные администраторы в то время просто думали, что в системе паролей, должно быть, была ошибка, и Шерр никогда не был пойман. Мы знаем только, что он был ответственным, потому что он смущенно признался почти через полвека, что именно он это сделал. Это небольшое нарушение данных сделало его первым известным человеком, который украл компьютерные пароли, что, по-видимому, сегодня гордится компьютерным пионером.

Весело, по словам Шерра, в то время как некоторые люди использовали пароли, чтобы получить больше времени на машине для запуска симуляций и т. П., Другие решили использовать их для входа в учетные записи людей, которым им не нравилось просто оставлять оскорбительные сообщения.Это просто показывает, что, хотя компьютеры, возможно, сильно изменились за последние полвека, люди, конечно же, этого не сделали.

В любом случае, примерно через 5 лет, в 1966 году, CTSS снова испытывает серьезное нарушение данных, когда случайный администратор случайно перепутал файлы, которые отображали приветственное сообщение каждому пользователю и файл главного пароля … В этой ошибке наблюдались все сохраненные пароли машина отображается любому пользователю, который попытался войти в CTSS. В документе, посвященном пятидесятилетию инженера CTSS Тома Ван Флека, он с любовью вспоминал «Инцидент с паролями» и в шутку отметил: «Естественно, это произошло в 17:00 в пятницу, и мне пришлось потратить несколько незапланированных часов на смену паролей людей».

В качестве способа обойти проблему простого текстового пароля Роберт Моррис создал одностороннюю систему шифрования для UNIX, которая, по крайней мере, сделала это теоретически, даже если кто-то мог получить доступ к базе паролей, они не смогли бы сказать, что любой из паролей был. Конечно, с продвижением в вычислительной мощности и умных алгоритмах необходимо было разработать еще более продуманные схемы шифрования … и битва между экспертами по безопасности белых и черных шляп в значительной степени велась взад и вперед с тех пор.

Все это привело к тому, что Билл Гейтс заявил в 2004 году: «[Пароли] просто не справляются с задачей на все, что вы действительно хотите защитить».

Конечно, самой большой дырой в безопасности, как правило, не являются используемые алгоритмы и программное обеспечение, а сами пользователи. Как прославленный создатель XKCD Рэндалл Мунро однажды так остро произнес: «Благодаря 20 годам усилий мы успешно обучили всех использовать пароли, которые трудно запоминать людям, но легко для компьютеров, чтобы угадать».

На этой ноте обучения людей делать плохие пароли, вину за это можно проследить до широко распространенных рекомендаций Национального института стандартов и технологий, опубликованных на странице токаря, который был восьмистраничной специальной публикацией NIST 800-63. Приложение А, написанное Биллом Берром в 2003 году.

Помимо всего прочего, Берр рекомендовал использовать слова со случайными символами, заменяющими, в том числе требуя прописных букв и цифр, а администраторы системы регулярно меняют свои пароли для максимальной безопасности …

Из этих, казалось бы, общепринятых рекомендаций, ныне отставной Берр заявил в интервью Wall Street Journal«Многое из того, что я сделал, теперь жалею …»

Чтобы быть честным с Burr, исследования, касающиеся аспекта человеческой психологии паролей, в основном не существовали в то время, когда он писал эти рекомендации, и теоретически, конечно, его предложения, по крайней мере, должны были быть немного более безопасными с вычислительной точки зрения, чем использование обычных слов,

Проблема с этими рекомендациями указана Британским Национальным Центром Кибербезопасности (NCSC), который заявляет, что «это увеличение использования пароля и все более сложные требования к паролю накладывает нереалистический спрос на большинство пользователей. Неизбежно, пользователи разработают свои собственные механизмы преодоления, чтобы справиться с «перегрузкой пароля». Это включает в себя запись паролей, повторное использование одного и того же пароля в разных системах или использование простых и предсказуемых стратегий создания паролей ».

К этому моменту, в 2013 году, Google быстро проверил пароли людей и отметил, что большинство людей используют одну из следующих схем паролей: имя или день рождения домашнего животного, члена семьи или партнера; годовщину или другую значимую дату; место рождения; любимый праздник; что-то делать с любимой спортивной командой; и, необъяснимое, слово password …

Итак, в нижней строке, большинство людей выбирают пароли, которые основаны на информации, которая легко доступна для хакеров, которые затем могут в свою очередь относительно легко создать алгоритм грубой силы для взлома пароля.

К счастью, хотя вы, возможно, не знаете этого из-за повсеместности систем, которые по-прежнему требуют от вас наилучшего впечатления от «Воли Охоты», чтобы установить пароль, большинство органов по обеспечению безопасности резко изменили свои рекомендации за последние несколько лет.

Например, вышеупомянутый NCSC теперь рекомендует, среди прочего, системным администраторам перестать заставлять людей изменять пароли, если в системе не существует известного нарушения пароля, поскольку: «Это налагает на пользователя бремя (которое, вероятно, будет выбирать новые пароли, которые являются только незначительные вариации старого) и не несет никаких реальных преимуществ … »Далее отметив, что исследования показали, что« регулярный пароль изменяет вред, а не повышает безопасность … »

Или, как отмечает физик и известный ученый-компьютер доктор Алан Вудворд из Университета Суррея, «чем чаще вы просите кого-то изменить свой пароль, тем слабее пароли, которые они обычно выбирают».

Точно так же даже совершенно случайный набор символов при типичных длинах требований к паролю относительно восприимчив к атакам грубой силы без дальнейших мер безопасности. Таким образом, Национальный институт стандартов и технологий также обновил свои рекомендации, теперь поощряя администраторов сосредоточить внимание людей на длительных, но простых паролях.

Например, такой пароль, как «Мой пароль довольно легко запомнить», как правило, будет на порядок более безопасным, чем «[защищенный электронной почтой] @ m3! 1» или даже «* ^ sg5! J8H8 * @ #! ^ »

Разумеется, при использовании таких фраз легко запоминать вещи, но по-прежнему не возникает проблема кажущегося еженедельного появления какого-либо крупного сервиса с взломом их базы данных, причем упомянутые системы иногда используют слабое шифрование или даже вообще не используют их хранение личных данных и паролей, таких как недавний взлом Equifax, в котором 145,5 миллионов человек в США имеют свои личные данные, включая полные имена, номера социального страхования, даты рождения и адреса. (Через пруд Equifax также отметил, что около 15 миллионов граждан Великобритании также украли свои записи в результате нарушения.)

В оттенках первого в истории пароля, упомянутого ранее, который требовал от Scherr просто запросить распечатку файла паролей, оказывается, что он получает доступ к огромному количеству персональных данных Equifax в магазинах для людей, сказал анонимный эксперт по компьютерной безопасности Материнская плата, «Все, что вам нужно было сделать, было положено в поисковый запрос и получить миллионы результатов, сразу же - в открытом виде, через веб-приложение».

Ага…

Из-за этого, Национальный центр кибербезопасности также теперь рекомендует администраторам поощрять людей использовать программное обеспечение для управления паролями, чтобы повысить вероятность того, что люди используют разные пароли для разных систем.

В конце концов, ни одна система никогда не будет полностью защищена, независимо от того, насколько хорошо она разработана, доведя нас до трех золотых правил компьютерной безопасности, написанных вышеупомянутым знаменитым криптографом Робертом Моррисом: «Не владейте компьютером; не включайте его; и не используйте его ».

Бонусный факт:

В эпоху жизни каждого человека, хранящегося в Интернете на серверах различных компаний, как правило, все они защищены паролями, Лондонский университет отметил в недавнем исследовании, что около 10% людей теперь ставят список своих общих паролей по своей воле, чтобы сделать уверенные люди могут получить доступ к своим данным и счетам после их смерти. Интересно, что проблема людей, которые этого не делают, на самом деле отмечена как серьезная проблема после атак 11 сентября. Например, Говард Лютник, одноразовый руководитель Кантора Фицджеральда, отметил его довольно незавидную задачу - отследить пароли почти 700 сотрудников, которые погибли в результате нападения. Из-за того, насколько важно, чтобы компания имела доступ к своим файлам прямо перед открытием вечерних рынков облигаций, он и его сотрудники должны были позвонить любимым из мертвых, чтобы попросить пароли или то, что пароли могут быть в тот же день … К счастью для компании, большинство паролей сотрудников были основаны на вышеупомянутых ошибочных рекомендациях Билла Берра - «J3r3my!». Это, в сочетании с конкретной личной информацией от любимых Лютников, собранных, позволило команде, отправленной Microsoft, относительно легко взломать неизвестные пароли с помощью грубой силы в короткие сроки.