Cine a inventat parolele de computere?

Cine a inventat parolele de computere?

Ceva asemănător parolelor a fost aparent utilizat pentru cel puțin atâta timp cât oamenii au înregistrat istoria. De exemplu, una dintre cele mai vechi referiri la ceva ca o parolă este menționată în Cartea Judecătorilor, care a fost scrisă pentru prima oară în jurul secolului al VI-lea sau al 7-lea î.Hr. Mai exact, afirmă în Judecători 12:

Și galaadii au luat pasajele Iordanului înaintea Efraimilor; și a fost așa, când acei Efraimi care au scăpat au spus: Lasă-mă să trec; că oamenii din Galaad i-au spus: Ești un Efraim? Dacă a spus, nu;

Atunci i-au spus: Spune-i acum pe Shibboleth; și el a zis lui Sibboleth: căci nu putea să se roage să-l pronunțe. Apoi l-au luat și l-au ucis la pasajele Iordanului ...

O scurtă redirecționare în istorie și legionarii romani sunt cunoscute pentru a utiliza un sistem simplu de parole pentru a discerne dacă un străin era prieten sau dușman. În secolul al II-lea, istoricul grec, Polybius, descrie chiar în detaliu modul în care sistemul de parole a funcționat pentru a se asigura că toată lumea știe ce parolă actuală a fost:

... din cel de-al zecelea manipul al fiecărei clase de infanterie și de cavalerie, manipulatul care este așezat la capătul inferior al străzii, este ales un om care este eliberat de gardă și el participă zilnic la apus la cortul tribunei și primind de la el cuvântul de ordine - care este o tabletă de lemn cu cuvântul inscripționat pe el - își ia concediul, iar după ce se întoarce în sala lui, trece pe cuvântul de ordine și pe tabletă în fața martorilor comandantului următorului manipul, care la rândul său trece la cel de lângă el. Totul face același lucru până când ajunge la primele manevră, cei care au tăbărât lângă corturile tribunelor. Aceștia din urmă sunt obligați să livreze comprimatul la tribune înainte de întuneric. Așa că, dacă toate cele eliberate sunt returnate, tribuna știe că cuvântul de ordine a fost dat tuturor manipulărilor și a trecut prin toate pe drumul său spre el. Dacă oricare dintre ele lipsește, el face o anchetă de îndată, deoarece știe prin semne din ce sfert nu s-a întors tableta și oricine este responsabil pentru oprire se întâlnește cu pedeapsa pe care o merită.

Istoricul român Suetonius menționează chiar și pe Cezar folosind un cifru simplu, care obligă destinatarul să cunoască o cheie, în acest caz numărul corect de ori pentru a schimba alfabetul, pentru a descifra mesajul.

În ceea ce privește mai multe vremuri moderne, prima instanță cunoscută a unui sistem de parolă pe un computer electronic a fost implementată de profesorul pensionar de informatică de la Institutul de Tehnologie din Massachusetts, Fernando Corbato. În 1961, MIT avea un computer gigant de partajare a timpului, denumit Compatibil Time-Sharing System (CTSS). Corbato ar afirma într-un interviu din 2012: "Problema cheie [cu CTSS] a fost că am înființat terminale multiple, care urmau să fie folosite de mai multe persoane, dar cu fiecare persoană având propriul set de fișiere private. Punerea unei parole pentru fiecare utilizator individual ca o încuietoare părea o soluție foarte simplă. "

Ceva pe care ar trebui să-l menționăm înainte de a continua este că Corbota ezită să-și asume creditul pentru că a fost primul care a implementat un sistem de parole pentru calculator. El sugerează că un dispozitiv construit în 1960 de IBM, numit Semi-Automatic Business Research Environment (Saber), care a fost (și încă este într-o formă modernizată) folosit pentru a face și a menține rezervările de călătorie, probabil a folosit parole. Cu toate acestea, atunci când IBM a fost contactat în legătură cu acest lucru, ei nu erau siguri dacă sistemul avea inițial o astfel de securitate. Și, deoarece nimeni nu pare să fi înregistrat vreun supraviețuitor dacă a făcut-o, Corbato se pare că a primit un credit universal pentru că a fost primul care a pus un astfel de sistem pe un computer electronic.

Desigur, o problemă cu aceste proto-parole devreme este că toate acestea au fost stocate în text simplu, în ciuda gaurii de securitate care se introduce.

Pe această notă, în 1962, un student de doctorat numit Allan Scherr a reușit să obțină CTSS pentru a imprima toate parolele computerului. Scherr notează,

A existat o modalitate de a solicita ca fișierele să fie tipărite offline, prin trimiterea unui card perforat cu numărul contului și numele fișierului. Într-o noapte de vineri, am depus o solicitare de tiparire a fișierelor de parolă și sâmbătă dimineața foarte devreme a mers la cabinetul de fișiere în care au fost tipărite imprimate ... aș putea să-mi continuu furtul mașinilor.

Acest "bătăuș" a fost pur și simplu să primească mai mult de patru ore de timp alocat zilnic de calculator el a fost acordat.

Scherr a împărtășit apoi lista de parole pentru a împiedica implicarea sa în bara de date. Administratorii de sisteme de la acea vreme au crezut că trebuie să fi existat o eroare în sistemul de parole undeva și Scherr nu a fost prins niciodată. Știm doar că el a fost responsabil, deoarece el a admis în mod ciudat aproape o jumătate de secol mai târziu că el a făcut-o. Această mică încălcare a datelor l-a făcut prima persoană cunoscută de a fura parolele computerului, ceea ce pionierul computerului pare destul de mândru de astăzi.

În mod ciudat, în opinia lui Scherr, în timp ce unii oameni foloseau parolele pentru a obține mai mult timp pe mașină pentru a rula simulări și altele, alții au decis să le folosească pentru a se conecta la conturile oamenilor care nu le plăcea doar să lase mesaje insultătoare.Ceea ce înseamnă doar că, în timp ce computerele s-au schimbat foarte mult în ultima jumătate de secol, oamenii sigur că nu au.

În orice caz, în jur de 5 ani mai târziu, în 1966, CTSS se confruntă încă o dată cu o încălcare masivă a datelor atunci când un administrator aleator a amestecat în mod accidental fișierele care au afișat un mesaj de întâmpinare fiecărui utilizator și fișierului cu parola de master ... aparatul fiind afișat oricărui utilizator care a încercat să se conecteze la CTSS. Într-o lucrare care comemorează cea de-a cincizecea aniversare a inginerului CTSS, Tom Van Vleck a amintit de "Incidentul cu parola" și a observat în glumă: "Desigur, acest lucru sa întâmplat vineri la ora 17:00 și a trebuit să petrec câteva ore neplanificate schimbând parolele oamenilor".

Ca o modalitate de a obține în jurul întregii probleme de parolă text simplu, Robert Morris a creat un sistem de criptare unidirecțional pentru UNIX care cel puțin a făcut-o atât de teoretic, chiar dacă cineva putea accesa baza de date a parolei, nu ar fi putut să oricare dintre parole a fost. Desigur, cu avansuri în puterea de calcul și algoritmi inteligenți, au trebuit să se dezvolte și mai multe scheme de criptare inteligente ... iar lupta dintre experții în securitate de pălărie albă și neagră a trecut de-a lungul timpului.

Toate acestea au condus la faptul că Bill Gates a declarat în 2004 că "[Passwords] nu răspund provocărilor pentru tot ceea ce vreți să vă asigurați."

Desigur, cea mai mare gaură de securitate nu este, în general, algoritmii și software-ul folosit, ci utilizatorii înșiși. Ca un creator renumit al XKCD, Randall Munroe, o dată cu atâta durere, a spus: "Prin 20 de ani de efort, am pregătit cu toții toată lumea să folosim parole greu de reținut de oameni, dar ușor de ghicit pentru calculatoare".

Pe această notă de instruire a oamenilor de a face parole proaste, vina pentru acest lucru poate fi urmărită înapoi la recomandările larg răspândite de către Institutul Național de Standarde și Tehnologie, publicat în Turner pagină care a fost de opt pagină NIST Special Publication 800-63. Anexa A, scrisă de Bill Burr în 2003.

Printre altele, Burr a recomandat folosirea cuvintelor cu caractere aleatoare înlocuite, incluzând obligarea literelor și numerelor mari, iar administratorii de sistem își schimbă periodic parolele pentru a obține o securitate maximă ...

Dintre aceste recomandări aparent adoptate universal, Burr, acum pensionat, a declarat într-un interviu cu Wall Street Journal, "Mult din ceea ce am făcut acum regret ..."

Pentru a fi corect față de Burr, studiile privind aspectul psihologiei umane a parolelor au fost în mare parte inexistente la momentul în care a scris aceste recomandări și, teoretic, sugestiile sale, cel puțin, ar fi trebuit să fie puțin mai sigure din perspectivă computațională decât să folosească cuvinte obișnuite .

Problema cu aceste recomandări este subliniată de British National Cyber ​​Security Center (NCSC), care afirmă că "această proliferare a utilizării parolei și a cerințelor din ce în ce mai complexe ale parolei plasează o cerere nerealistă pentru majoritatea utilizatorilor. În mod inevitabil, utilizatorii își vor elabora propriile mecanisme de coping pentru a face față "supraîncărcării prin parolă". Aceasta include scrierea parolelor, reutilizarea aceleiași parole în diferite sisteme sau utilizarea strategiilor simple și previzibile de creare a parolelor. "

În acest moment, în 2013, Google a realizat un studiu rapid despre parolele oamenilor și a observat că majoritatea oamenilor folosesc una dintre următoarele în schema de parole: Numele sau ziua de naștere a unui animal de companie, a unui membru al familiei sau a unui partener; o aniversare sau o altă dată semnificativă; locul naşterii; vacanță preferată; ceva de a face cu o echipă de sport preferată; și, inexplicabil, parola cuvânt ...

Deci, linia de jos, majoritatea oamenilor aleg parole care se bazează pe informații ușor accesibile hackerilor, care apoi, la rândul lor, pot crea relativ ușor un algoritm de forță brute pentru a sparge parola.

Din fericire, în timp ce s-ar putea să nu știți asta din ubicuitatea sistemelor care încă mai necesită să faceți cea mai bună impresie de Will Hunting pentru a stabili o parolă, cele mai multe entități de consiliere de securitate și-au schimbat drastic recomandările în ultimii ani.

De exemplu, NCSC mai sus recomandă, printre altele, administratorii de sistem să nu mai facă schimbarea parolelor decât dacă există o încălcare a parolei cunoscute în cadrul sistemului, deoarece: "Acest lucru impune utilizatorilor sarcini (care este probabil să aleagă noi parole care sunt doar variante minore ale vechii) și nu aduce beneficii reale ... "În plus, studiile au arătat că" schimbarea regulată a parolei dăunează mai degrabă decât îmbunătățește securitatea ... "

Sau ca fizicieni și remarcat dr. Alan Woodward de la Universitatea din Surrey, "cu cât întrebați mai des pe cineva să-și schimbe parola, cu atât sunt mai slabe parolele pe care le aleg de obicei".

În mod similar, chiar și un set complet aleatoriu de caractere la lungimile obișnuite ale parolei este relativ susceptibil la atacuri de forță brute fără alte măsuri de securitate. Ca atare, Institutul Național de Standarde și Tehnologie și-a actualizat, de asemenea, recomandările, încurajând acum administratorii să se concentreze pe oameni pe parole lungi, dar simple.

De exemplu, o parolă precum "Parola mea este destul de ușor de reținut" va fi, în general, ordine de mărime mai sigură decât "[email protejat] @ m3!" Sau chiar "* ^ ^ sg5! J8H8 * @! “

Bineînțeles, folosirea unor astfel de fraze face lucrurile ușor de reținut, dar încă nu se confruntă cu problema apariției aparent săptămânale a unor servicii majore având baza lor de date hacked, sistemele menționate făcând uneori criptare slabă sau chiar deloc stocarea datelor private și a parolelor, cum ar fi recenta hack-ul Equifax, care a văzut 145,5 milioane de persoane din SUA expuse datele lor personale, inclusiv numele complet, numerele de securitate socială, datele de naștere și adresele. (Deasupra iazului, Equifax a remarcat, de asemenea, că aproximativ 15 milioane de cetățeni britanici au înregistrat înregistrările în furt.)

În nuanțele primei hack-uri de parole menționate anterior, care impunea ca Scherr să ceară doar tipărirea fișierului de parolă, se pare că a obținut accesul la cantitatea vastă de date cu caracter personal pe care Equifax le stochează oamenilor, a declarat un expert anonim al securității informatice Plăci de bază, "Tot ce trebuia să faceți a fost să introduceți un termen de căutare și să obțineți milioane de rezultate, doar instantaneu - în text clar, printr-o aplicație web".

Da…

Din cauza unor astfel de lucruri, Centrul Național de Securitate Cyber ​​îi recomandă, de asemenea, administratorilor să încurajeze utilizatorii să folosească software-ul de gestionare a parolelor pentru a crește probabilitatea ca utilizatorii să utilizeze parole diferite pentru diferite sisteme.

În cele din urmă, niciun sistem nu va fi vreodată complet sigur, indiferent cât de bine proiectat, care ne aduce la cele trei reguli de aur ale securității informatice, scrise de cunoscutul criptograf Robert Morris: "nu dețineți un computer; nu îl porniți; și nu o folosiți. "

Bonus de fapt:

  • În epoca în care viața fiecăruia a fost stocată online pe serverele diferitelor companii - în general toate protejate de parole, Universitatea din Londra a remarcat într-un studiu recent că aproximativ 10% dintre oameni pun acum o listă cu parolele lor comune în voia lor de a face sigur că oamenii își pot accesa datele și conturile după ce mor. Interesant, problema persoanelor care nu fac acest lucru este de fapt remarcată ca provocând o problemă majoră după atacurile din 11 septembrie. De exemplu, Howard Lutnick, un executiv de o singură dată la Cantor Fitzgerald, a remarcat sarcina sa de neînvins de a fi nevoită să urmărească parolele a aproape 700 de angajați care au murit în atac. Din cauza faptului cât de important era ca compania să aibă acces la fișierele lor imediat înainte ca piețele de obligațiuni să se deschidă, el și personalul său trebuiau să cheme pe cei dragi din morți pentru a cere parolele sau parolele aceleași zile ... Din fericire pentru companie, majoritatea parolelor angajaților s-au bazat pe recomandările defectuoase menționate de Bill Burr - varietatea "J3r3my!". Acest lucru, în combinație cu informații personale specifice de la cei dragi Lutnick colectați, a permis unei echipe expediate de Microsoft să crape relativ ușor parolele necunoscute prin forță bruta în ordine scurtă.

Lasă Un Comentariu