Kto wynalazł hasła komputera?

2024 Autor: Sherilyn Boyd | [email protected]. Ostatnio zmodyfikowany: 2024-01-16 10:20

A Gileadyci wzięli przejścia Jordanu przed Efraimitami; i stało się tak, że gdy uciekli efraimici, rzekli: Pozwól mi przejść; że ludzie z Gileadu rzekli do niego: Ty jesteś Efraimitą? Gdyby powiedział: Nie;

Rzekli więc do niego: Powiedz teraz, Szibglecie, a on rzekł: Syberyjo, bo nie mógł się wypowiedzieć, żeby to wymówić. Potem zabrali go i zabili go w korytarzach Jordanu …

Szybko przekazując nieco historii, a rzymscy legioniści używali prostego systemu fraz w celu rozróżnienia, czy nieznajomy był przyjacielem, czy wrogiem. Historyk grecki z drugiego wieku pne, Polybius, opisuje nawet szczegółowo, jak działał system haseł, aby upewnić się, że wszyscy wiedzą, jakie jest obecne hasło:

… z dziesiątego manipulowania każdą klasą piechoty i kawalerii, manipulantem, który obozuje na dolnym końcu ulicy, wybiera się człowieka, który jest zwolniony ze służby strażniczej, i każdego dnia o zachodzie słońca uczęszcza do namiotu trybuna, a otrzymanie od niego hasła - czyli drewnianej tabliczki z napisem na niej - opuszcza go, a po powrocie do kwatery przekazuje hasło i tabliczkę przed świadkami dowódcy następnego manipulanta, który z kolei przechodzi do tego obok niego. Wszyscy robią to samo, dopóki nie dotrą do pierwszych manipulacji, obozujących w pobliżu namiotów trybun. Ci ostatni są zobowiązani dostarczyć tablet do trybuny przed zmrokiem. Tak więc, jeśli wszystkie wydane są zwrócone, trybun wie, że hasło zostało nadane wszystkim manipulatorom i przeszło przez wszystkie w drodze powrotnej do niego. Jeśli któryś z nich zaginął, natychmiast dochodzi do wniosku, ponieważ wie, na podstawie znaków z kwartału, z którego tablet nie wrócił, a kto odpowiada za przestój, spotyka się z karą, którą zasługuje.

Rzymski historyk Suetonius wspomina nawet Cezara za pomocą prostego szyfrowania, który wymagał od odbiorcy znajomości klucza, w tym przypadku prawidłowej liczby przesunięć alfabetu, aby rozszyfrować wiadomość.

Jeśli chodzi o bardziej współczesne czasy, pierwszy znany przypadek systemu haseł na komputerze elektronicznym został wdrożony przez emerytowanego profesora informatyki w Massachusetts Institute of Technology, Fernando Corbato. W 1961 r. MIT miał gigantyczny komputer do współdzielenia czasu o nazwie Compatible Time Sharing System (CTSS). Corbato powiedziałby w wywiadzie z 2012 roku: "Kluczowym problemem [z CTSS] było to, że tworzyliśmy wiele terminali, z których miało korzystać wiele osób, ale każda osoba ma swój własny zestaw plików. Ustanowienie hasła dla każdego użytkownika jako zamka wydawało się bardzo prostym rozwiązaniem."

Coś, o czym powinniśmy wspomnieć przed kontynuacją, to fakt, że Corbota nie chce przyznać, że był pierwszym, który wdrożył system haseł komputerowych. Sugeruje on, że urządzenie zbudowane w 1960 roku przez IBM, zwane Półautomatycznym Środowiskiem Badań Biznesowych (Saber), było (i wciąż jest w ulepszonej formie) wykorzystywane do tworzenia i utrzymywania rezerwatów podróży, prawdopodobnie używanych haseł. Jednakże, gdy skontaktowano się z IBM w tej sprawie, nie byli oni pewni, czy system miał pierwotnie takie zabezpieczenia. A ponieważ wydaje się, że nikt nie przeżył, czy to prawda, Corbato wydaje się być powszechnie uznawany za pierwszego, który umieścił taki system na elektronicznym komputerze.

Oczywiście, problem z tymi wczesnymi proto-hasełami polega na tym, że wszystkie zostały zapisane w czystym tekście pomimo dziury w bezpieczeństwie, którą wprowadza.

W tej notatce, w 1962 roku, student z PHD Allan Scherr zdołał uzyskać CTSS do wydrukowania wszystkich haseł komputera. Scherr zauważa,

Był sposób, aby zażądać, aby pliki były drukowane w trybie offline, przesyłając perforowaną kartę z numerem konta i nazwą pliku. Pod koniec piątkowej nocy złożyłem wniosek o wydrukowanie plików haseł i bardzo wcześnie rano w sobotę poszedłem do szafki z dokumentami, w której umieszczono wydruki … Mógłbym wtedy kontynuować kradzież czasu maszynowego.

Ta "kradzież" polegała po prostu na przekroczeniu czterech godzin przydzielonego mu czasu pracy komputera.

Scherr następnie udostępnił listę haseł, aby ukryć swoje zaangażowanie w błąd danych. Administratorzy systemu w tamtym czasie po prostu myśleli, że musiał gdzieś być błąd w systemie haseł, a Scherr nigdy nie został złapany. Wiemy tylko, że był odpowiedzialny, bo przyznał się nieśmiało prawie pół wieku później, że to on to zrobił. Ta mała luka w zabezpieczeniach danych sprawiła, że był pierwszą znaną osobą, która kradła hasła do komputera, coś, co pionier komputerowy wydaje się dzisiaj bardzo dumny.

Zabawne, według Scherra, podczas gdy niektórzy ludzie korzystali z haseł, aby uzyskać więcej czasu na maszynie, aby przeprowadzić symulacje i tym podobne, inni zdecydowali się użyć ich do zalogowania się na konta osób, które nie lubiły po prostu zostawiać obraźliwych wiadomości.Co tylko pokazuje, że chociaż komputery mogły bardzo się zmienić w ciągu ostatniego półwiecza, ludzie na pewno nie.

W każdym razie, około 5 lat później, w 1966, CTSS ponownie doświadczyło ogromnego naruszenia danych, gdy przypadkowy administrator przypadkowo pomylił pliki, które wyświetlały wiadomość powitalną każdemu użytkownikowi i główny plik haseł … Ten błąd widział każde hasło zapisane na maszyna jest wyświetlana każdemu użytkownikowi, który próbował zalogować się do CTSS. W gazecie upamiętniającej pięćdziesięciolecie inżyniera CTSS Tom Van Vleck wspominał z przyjemnością "Incydent z hasłem" i żartobliwie zauważył: "Naturalnie stało się to o piątej po południu w piątek i musiałem spędzić kilka nieplanowanych godzin zmieniających hasła użytkowników".

Jako sposób na obejście całego problemu z hasłem prostym, Robert Morris stworzył jednokierunkowy system szyfrowania dla systemu UNIX, który przynajmniej tak teoretycznie uczynił, nawet gdyby ktoś mógł uzyskać dostęp do bazy danych haseł, nie byłby w stanie powiedzieć, co którekolwiek z haseł było. Oczywiście, wraz z postępem w dziedzinie mocy obliczeniowej i sprytnych algorytmów, trzeba było opracować jeszcze bardziej sprytne systemy szyfrowania … a bitwa między ekspertami od bezpieczeństwa białego i czarnego kapelusza od tamtej pory toczy się od tamtej pory.

Wszystko to doprowadziło do głośnego stwierdzenia Billa Gatesa w 2004 r. "[Hasła] po prostu nie stanowią wyzwania dla wszystkiego, co naprawdę chcesz zabezpieczyć".

Oczywiście największą luką w zabezpieczeniach nie są zwykle używane algorytmy i oprogramowanie, ale użytkownicy sami. Jako słynny twórca XKCD, Randall Munroe, raz tak przejmująco powiedział: "Przez 20 lat wysiłków, z powodzeniem wyszkoliliśmy każdego, aby używał haseł trudnych do zapamiętania przez ludzi, ale łatwych do odgadnięcia przez komputery."

W tej notatce o szkoleniu ludzi do tworzenia złych haseł, winę za to można przypisać szeroko rozpowszechnianym zaleceniom wydanym przez National Institute of Standards and Technology, opublikowanym w odwracaczu stron, który był ośmiostronicową specjalną publikacją NIST 800-63. Dodatek A, napisany przez Billa Burra w 2003 roku.

Burr polecił między innymi użycie słów z losowymi znakami, w tym wymagających wielkich liter i cyfr, a administratorzy systemu mają ludzi, którzy regularnie zmieniają hasła w celu zapewnienia maksymalnego bezpieczeństwa …

Z tych na pozór powszechnie przyjętych zaleceń, teraz już na emeryturze Burr stwierdził w wywiadzie dla dziennik "Wall Street, "Wiele z tego, co zrobiłem, teraz żałuję …"

Aby być uczciwym wobec Burr, studia dotyczące aspektu haseł ludzkiej psychologii były w dużej mierze nieistniejące w chwili pisania tych zaleceń iw teorii na pewno jego sugestie były przynajmniej odrobinę bardziej bezpieczne z punktu widzenia obliczeniowego niż przy użyciu zwykłych słów..

Problem z tymi zaleceniami jest wskazywany przez Brytyjskie Centrum Cyber Security (NCSC), które stwierdza: "to rozpowszechnienie użycia haseł i coraz bardziej złożone wymagania dotyczące haseł stawia nierealistyczne wymagania dla większości użytkowników. Nieuchronnie użytkownicy będą wymyślać własne mechanizmy radzenia sobie ze stresem, aby poradzić sobie z "przeciążeniem hasłem". Obejmuje to zapisywanie haseł, ponowne używanie tego samego hasła w różnych systemach lub używanie prostych i przewidywalnych strategii tworzenia haseł."

W tym momencie w 2013 r. Google przeprowadził szybkie badanie na temat haseł użytkowników i zauważył, że większość osób używa w schemacie haseł jednego z następujących elementów: imię i nazwisko zwierzęcia domowego, członka rodziny lub partnera; rocznica lub inna znacząca data; miejsce urodzenia; ulubione wakacje; coś wspólnego z ulubioną drużyną sportową; i, niewytłumaczalne, słowo hasło …

Tak więc, większość ludzi wybiera hasła oparte na informacjach łatwo dostępnych dla hakerów, którzy z kolei mogą stosunkowo łatwo stworzyć algorytm brutalnej siły, aby złamać hasło.

Na szczęście, chociaż możesz nie wiedzieć o tym od wszechobecności systemów, które nadal wymagają od ciebie najlepszego wrażenia, że Will Hunting ustawi hasło, większość doradców ds. Bezpieczeństwa drastycznie zmieniło swoje zalecenia w ciągu ostatnich kilku lat.

Na przykład wspomniany wcześniej NCSC zaleca między innymi, aby administratorzy systemu przestali wprowadzać zmiany w hasłach, chyba że w systemie istnieje znane naruszenie hasła: "To nakłada obciążenia na użytkownika (który prawdopodobnie wybierze nowe hasła, które są tylko niewielkie zmiany starego) i nie przynosi żadnych rzeczywistych korzyści … "Ponadto zauważono, że badania wykazały, że" zwykłe zmiany w zakresie haseł szkodzą, a nie zwiększają bezpieczeństwo …"

Albo, jak wspominają fizycy i znany informatyk dr Alan Woodward z University of Surrey, "im częściej prosisz kogoś o zmianę hasła, tym słabiej wybiera się hasła."

Podobnie, nawet całkowicie losowy zestaw znaków przy typowych wymaganiach dotyczących długości haseł jest stosunkowo podatny na ataki typu brute force bez dodatkowych środków bezpieczeństwa. W związku z tym Narodowy Instytut Standardów i Technologii również zaktualizował swoje zalecenia, zachęcając teraz administratorów do skupienia się na długich, ale prostych hasłach.

Na przykład hasło takie jak "Moje hasło jest dość łatwe do zapamiętania" będzie generalnie bezpieczniejsze niż "[email protected] @ m3! 1" lub nawet "* ^ sg5! J8H8 * @ #! ^"

Oczywiście używanie takich zwrotów ułatwia zapamiętanie, ale wciąż nie usuwa problemu z pozornie cotygodniowym wystąpieniem jakiejś poważnej usługi po zhakowaniu bazy danych, przy czym wspomniane systemy czasami używają słabego szyfrowania lub nawet nie zawierają wcale przechowywanie prywatnych danych i haseł, takich jak ostatnie hackowanie Equifax, w którym 145,5 miliona osób w Stanach Zjednoczonych miało dostęp do swoich danych osobowych, w tym pełne imiona, numery ubezpieczenia społecznego, daty urodzenia i adresy. (Po drugiej stronie stawu, Equifax zauważył również, że około 15 milionów obywateli Wielkiej Brytanii również zostało skradzionych w tym naruszeniu).

W odcieniach pierwszego wspomnianego wcześniej hackowania hasła, które wymagało od Scherra poproszenia o wydrukowanie pliku z hasłem, okazało się, że dostanie on dostęp do ogromnej ilości danych osobowych w sklepach Equifax na ludziach, powiedział anonimowy ekspert od bezpieczeństwa komputerowego Płyta główna, "Wystarczyło wpisać wyszukiwany termin i uzyskać miliony wyników, natychmiast - w postaci zwykłego tekstu, za pośrednictwem aplikacji internetowej".

Tak…

Z tego powodu National Cyber Security Center zaleca teraz administratorom zachęcanie ludzi do korzystania z oprogramowania do zarządzania hasłami, aby zwiększyć prawdopodobieństwo, że ludzie używają różnych haseł dla różnych systemów.

W końcu żaden system nigdy nie będzie w pełni bezpieczny, bez względu na to, jak dobrze zaprojektowany, prowadząc nas do trzech złotych zasad bezpieczeństwa komputerowego, napisanych przez wspomnianego słynnego kryptologa Roberta Morrisa: "nie posiadasz komputera; nie włączaj go; i nie używaj go."

Fakt premiowy:

W dobie życia każdego człowieka przechowywanego w Internecie na serwerach różnych firm - generalnie wszystkich chronionych hasłami - Uniwersytet Londyński zauważył w niedawnym badaniu, że około 10% osób umieszcza listę swoich wspólnych haseł w testamencie. pewni ludzie mają dostęp do swoich danych i kont po ich śmierci. Co ciekawe, problem osób, które tego nie robią, został zauważony jako powodujący poważny problem po atakach z 11 września. Na przykład Howard Lutnick, jeden z dyrektorów Cantor Fitzgerald, zauważył, że jest to raczej nie do zniesienia zadanie polegające na wyłapywaniu haseł prawie 700 pracowników, którzy zginęli w ataku. Z uwagi na to, jak ważne było, aby firma miała dostęp do swoich plików natychmiast przed otwarciem wieczornych rynków obligacji, on i jego pracownicy musieli dzwonić do bliskich zmarłych, aby poprosić o hasła lub o to, jakie hasła mogą być tego samego dnia. … Na szczęście dla firmy większość haseł pracowników opierała się na wspomnianych błędnych zaleceniach Billa Burra - odmiany "J3r3my!". To, w połączeniu z konkretnymi danymi osobowymi bliskich, zebranych przez Lutnick, pozwoliło zespołowi wysłanemu przez Microsoft na stosunkowo łatwe złamanie nieznanych haseł za pośrednictwem brutalnej siły w krótkim czasie.