Kas sukūrė kompiuterio slaptažodžius?

2024 Autorius: Sherilyn Boyd | [email protected]. Paskutinį kartą keistas: 2024-01-16 10:19

Panašu, kad kažkas panaši į slaptažodžius buvo naudojamas bent jau tol, kol žmonės įrašė istoriją. Pavyzdžiui, viena iš pirmųjų nuorodų į kažką panašaus į slaptažodį paminėta Teisėjų knygoje, kuri pirmą kartą buvo užrašyta apie 6 ar 7 a. Pr. Kr. Konkrečiai, teisėjai sako 12:

Gileadiečiai paėmė Jordano kanalus prieš Efraimiečius. Taip buvo, kad, kai išgelbėti efraimai, sakė: "Leisk man eiti; kad Gileado vyrai jam tarė: "Tu esi Efraimai?" Jei jis sakė: "Ne;

Tada jie jam atsakė: "Sakyk dabar" Shibboleth ". Jis pasakė Sibboletą, nes jis negalėjo įsivaizduoti teisingai. Tada jie paėmė jį ir nužudė jį Jordano kanalais …

Žinoma, kad šiek tiek istorijos ir romėnų legionierių ekspedicija naudoja paprastą slaptųjų frazių sistemą, kad suprastų, ar svetimas buvo draugas ar priešas. Antrasis amžius prieš pr. Kr. Graikijos istorikas Polibiusas net išsamiai aprašo, kaip veikia slaptažodžių sistema, kad visi žinotų, kas yra dabartinis slaptažodis:

… iš dešimtosios kiekvienos pėstininkų ir kavalerijos klasių manipulių, manipulas, kuris stovi ant gatvės apatinio gale, pasirenkamas žmogus, kuris atleidžiamas nuo sargybos pareigų ir kasdien lanko saulėlydžio tribūnos palapinėje, ir, gaudydamas jį iš šaulio, tai yra medinė tabletė su užrašytu žodžiu, paima atostogas ir grįžta į savo būstines, eina į šūkį ir tabletę prieš liudininkus kito maniplero vadui, kuris savo ruožtu eina tai šalia jo. Visi daro tą patį, kol pasiekia pirmąsias manieres, stovinčias prie tribūnų palapinių. Šie pastarieji yra įpareigoti tabletę pristatyti į tribūną dar tamsoje. Taigi, jei visi išleisti grąžinami, tribūnos žino, kad šūkis buvo suteiktas visiems žmonėms ir jis praėjo viską, grįždamas į jį. Jei trūksta vieno iš jų, jis vienu metu iš karto užmezga užklausą, nes žino, iš kokio ketvirčio tabletė negrįžta, ir kas atsakingas už sustojimą, atitinka jam skirtą bausmę.

Romos istorikas Suetonijus net paminėjo Cezarį, naudodamas paprastą kodą, reikalaudamas, kad gavėjas žinotų raktą, šiuo atveju teisingą abėcėlės perkėlimo laiką, iššifruoti pranešimą.

Kalbant apie šiuolaikinius laikus, pirmasis žinomas slaptažodžių sistemos egzempliorius elektroniniame kompiuteryje buvo įgyvendintas dabar senatvėje Masačusetso technologijos instituto informacinių technologijų profesoriuje Fernando Corbato. 1961 m. "MIT" turėjo milžinišką laiką dalintis kompiuteriu, pavadintu "Suderinamojo laiko pasidalijimo sistema" (CTSS). 2012 m. Interviu "Corbato" teigė: "Svarbiausia problema (su CTSS) buvo tai, kad mes sukūrėme kelis terminalus, kuriuos turėjo naudoti keli asmenys, tačiau kiekvienas asmuo turėjo savo asmeninį rinkmeną. Kiekvienam atskiram asmeniui įvesti slaptažodį kaip užraktą atrodė labai paprastas sprendimas."

Ką turėtume paminėti prieš tęsiant, Corbota nesiryžta įsidarbinti, nes pirmoji įdiegė kompiuterio slaptažodžio sistemą. Jis siūlo, kad "IBM" 1960 m. Įrengtas prietaisas pavadino pusiau automatinę verslo tyrimų aplinką ("Sabre"), kuri buvo (ir vis dar yra modernizuota), skirta kelionėms rezervuoti ir palaikyti, galbūt naudojami slaptažodžiai. Tačiau kai IBM buvo susisiekta šiuo klausimu, jie buvo nepatikimi, ar sistema iš pradžių turėjo tokią apsaugą. Ir kadangi niekas, atrodo, neturi išlikusio įrašo apie tai, ar jis padarė, Corbato, atrodo, visuotinai pripažįstamas pirmuoju, kuris tokią sistemą įdiegė elektroniniame kompiuteryje.

Žinoma, su šiais ankstyvais proto-slaptažodžiais susijęs klausimas yra tas, kad visi jie buvo saugomi paprastu tekstu, nepaisant to, kad tai sukuria atvirą saugumo skylę.

Tuo pačiu metu 1962 m. PHD studentas Allanas Scherras sugebėjo CTSS atspausdinti visus kompiuterio slaptažodžius. Scherr pažymi,

Buvo galima prašyti, kad failai būtų atspausdinti neprisijungę, pateikdami perforuotą kortelę su paskyros numeriu ir failo pavadinimu. Vėliau vieną penktadienio vakarą pateikiau prašymą spausdinti slaptažodžių rinkmenas ir labai anksti šeštadienio rytą atvažiavo į failų kabinetą, kuriame buvo išspausdintos spaudos … Aš galėčiau tęsti savo mašininio laiko praradimą.

Šis "larceny" buvo tiesiog gauti daugiau nei keturias valandas skirtą kasdien kompiuterio metu jis buvo suteiktas.

Tada "Scherr" pasidalijo slaptažodžių sąrašu, kad apsunkintų jo dalyvavimą duomenų bazėje. Sistemos administratoriai tuo metu tiesiog manė, kad kažkur turėjo būti klaidos slaptažodžių sistemoje, o Scherr niekada nebuvo sugautas. Mes tik žinome, kad jis buvo atsakingas, nes jis skubiai įsileido beveik pusę amžiaus vėliau, kad jis tai padarė. Šis mažas duomenų pažeidimas paskatino jį tapti pirmuoju žinomu asmeniu, kuris pavogė kompiuterio slaptažodžius. Kompiuterių pionierius šiandien atrodo gana didžiuotis.

Atsižvelgiant į Scherr, nors kai kurie žmonės naudojosi slaptažodžiais, norėdami gauti daugiau laiko mašinoje, kad galėtumėte paleisti imitavimus ir pan., Kiti nusprendė juos naudoti norėdami prisijungti prie žmonių, kuriems jie nepatinka, tiesiog nepalikti įžeidžiančių pranešimų.Kuri tik rodo, kad per pastaruosius pusę amžiaus kompiuteriai gali daug pasikeisti, tačiau žmonės tikrai to nepadarė.

Bet kokiu atveju, praėjus maždaug 5 metams, 1966 m., CTSS dar kartą patiria didžiulį duomenų pažeidimą, kai atsitiktinis administratorius netyčia maišydavo failus, kuriuose kiekvienam vartotojui pasirodė sveikintinas pranešimas ir pagrindinio slaptažodžio failas … Ši klaida matė, kad kiekvienas slaptažodis saugomas mašina rodoma visiems vartotojams, kurie bandė prisijungti prie CTSS. CTSS inžinieriaus Tomo Van Vlecko penkiasdešimties metų jubiliejuje primenantis dokumentas švelniai prisiminė "Slaptažodžių incidentą" ir juokais pažymėjo: "Žinoma, tai įvyko penktadienį 17 val. Penktadienį, ir aš turėjau praleisti keletą neplanuotų valandų keičiantis žmonių slaptažodžius".

Kad būtų galima apeiti visą paprasto teksto slaptažodžio problemą, Robertas Morrisas sukūrė UNIX vienos krypties šifravimo sistemą, kuri teoriškai tai padarė net tuo atveju, jei kas nors galėtų pasiekti slaptažodžių duomenų bazę, jie negalėtų pasakyti, ką bet kuris slaptažodis buvo. Žinoma, turint pažangių skaičiavimo galių ir protingų algoritmų, reikėjo sukurti net protingesnes šifravimo schemas … ir kova tarp baltos ir juodos skrybėlių saugumo ekspertų nuo to laiko gana daugėja.

Visa tai lėmė tai, kad 2004 m. Garsiai pasakė Billas Gatesas: "[Slaptažodžiai] nesudaro iššūkio visko, ką tikrai norite apsaugoti".

Žinoma, didžiausia saugumo spraga paprastai nėra algoritmai ir programinė įranga, o vartotojai patys. Kaip žinomas XKCD kūrėjas, Randallas Munroe'as, kai taip apgailėtinai pasakojo: "Per 20 metų pastangas mes sėkmingai apmokėme žmones naudoti slaptažodžius, kurie žmonėms sunkiai prisimenami, bet kompiuteriai gali lengviau prisiminti".

Šioje pastaboje, kurioje mokoma žmones sudaryti blogus slaptažodžius, kaltinimus dėl to galima atsekti į plačiai skleidžiamas Nacionalinio standartų ir technologijų instituto rekomendacijas, paskelbtas puslapio turėtojui, kuris buvo aštuonių puslapių NIST speciali leidinys 800-63. A priedas, kurį 2003 m. Parašė Bill Burr.

Be kitų dalykų, Burr rekomendavo naudoti žodžius su atsitiktiniais simboliais, kurie buvo pakeisti, įskaitant reikalaujant didžiųjų raidžių ir skaičių, o sistemos administratoriai reguliariai keičia savo slaptažodžius, kad užtikrintų maksimalų saugumą …

Iš šių, atrodo, visuotinai priimtų rekomendacijų, dabar išeitį išeitė Burr sakė interviu su "Wall Street Journal""Labai daug ką aš dabar apgailestauju …"

Kad būtų teisingas Burrui, tuo metu, kai jis parašė šias rekomendacijas, tyrimai, susiję su žmogaus psichologijos slaptažodžių aspektu, iš esmės nebuvo tokie, ir teoriškai iš tiesų jo pasiūlymai bent jau turėjo būti šiek tiek saugesni iš skaičiavimo perspektyvos nei naudojant įprastus žodžius.

Šių rekomendacijų problemą atkreipė Britanijos nacionalinis kibernetinio saugumo centras (NCSC), kuris teigia, kad "šis naudojimasis slaptažodžiu ir vis sudėtingesni slaptažodžių reikalavimai kelia daugumai vartotojų nerealią paklausą. Neatsargiai, vartotojai sukurs "savo slaptažodžių įveikimo mechanizmus", kad susidorotų su "slaptažodžio perkrova". Tai apima slaptažodžių įrašymą, vienodo slaptažodžio naudojimą skirtingose sistemose arba paprastų ir nuspėjamų slaptažodžių kūrimo strategijų."

Šiuo tikslu 2013 m. "Google" atliko nedidelį tyrimą dėl žmonių slaptažodžių ir pažymėjo, kad dauguma žmonių savo slaptažodžių schemoje naudoja vieną iš šių būdų: gyvūno, šeimos nario ar partnerio vardą arba gimtadienį; jubiliejaus ar kitos reikšmingos datos; gimtinė; mėgstamiausios atostogos; kažkas daryti su mėgstama sporto komanda; ir, nepaaiškinamas, žodis slaptažodis …

Taigi, apatinėje eilutėje dauguma žmonių pasirenka slaptažodžius, kurie yra pagrįsti informacija, kuri yra lengvai prieinama įsilaužėliams, o tai savo ruožtu gana lengvai gali sukurti brutalia jėgos algoritmą, kad sugadintumėte slaptažodį.

Laimei, nors jūs galbūt nežinote to iš visur esančių sistemų, vis dar reikalaujama, kad jūs atliktumėte geriausią įspūdį, ar "Will Hunting" nustatys slaptažodį, dauguma patarimų saugumo srityje per keletą pastarųjų metų drastiškai pakeitė savo rekomendacijas.

Pavyzdžiui, pirmiau minėta NCSC dabar rekomenduoja, be kita ko, sistemos administratoriai nebesuteikia žmonių keisti slaptažodžių, jei sistemoje nėra žinomo slaptažodžio pažeidimo, kaip "Tai sukelia naštą vartotojui (kas gali pasirinkti tik naujus slaptažodžius, kurie yra tik nesvarbu, kokie yra seni) ir neturi realios naudos … "Toliau pažymėti, kad tyrimai parodė, kad" nuolatinis slaptažodžio keitimas kenkia, o ne gerina saugumą …"

Arba kaip fizikai ir pažymėjo "Computer Scientist" dr. Alanas Woodward iš Surrey universiteto, "kuo dažniau jūs kviečiate ką nors keisti savo slaptažodį, tuo silpnesni paprastai pasirinkti slaptažodžiai".

Panašiai net net visiškai atsitiktinis simbolių rinkinys, kurio tipiniai slaptažodžio reikalaujami ilgiai yra santykinai jautrus brutalioms jėgoms be papildomų saugumo priemonių. Taip pat Nacionalinis standartų ir technologijų institutas taip pat atnaujino savo rekomendacijas, dabar skatina administratorių, kad žmonės sutelktų dėmesį į ilgas, bet paprastas slaptažodžius.

Pavyzdžiui, tokį slaptažodį kaip "Mano slaptažodis yra gana lengva prisiminti". Paprastai jis bus didesnis už saugą nei "[email protected] @ m3! 1" ar net "* ^ sg5! J8H8 * @ #! ^"

Žinoma, naudojantis tokiomis frazėmis lengviau prisiminti dalykus, vis tiek neatsiranda problemų, susijusių su tuo, kad kas savaitę atsiranda keletas pagrindinių tarnybų, kurių duomenų bazė buvo įsilaužta, o minėtos sistemos kartais naudoja silpną kodavimą arba netgi jų neveikia. Asmeninių duomenų ir slaptažodžių saugojimas, pvz., paskutinė "Equifax" piktograma, kurioje buvo aptikta 145,5 mln. žmonių JAV, turi savo asmens duomenis, įskaitant vardus ir pavardes, socialinio draudimo numerius, gimimo datą ir adresus. (Visame tvenkinyje "Equifax" taip pat pastebėjo, kad apie 15 milijonų JK piliečių taip pat buvo pavogti įrašai).

Anksčiau paminėta pirmoji anksčiau minėta slaptažodžio užsklanda, kuri reikalavo, kad "Scherr" tik paprašytų išspausdinti slaptažodžio failą, atrodo, kad prieiga prie daugybės asmeninių duomenų "Equifax" parduotuvėse žmonėms, sakė anoniminis kompiuterių saugumo ekspertas Plokštė"" Viskas, ką jums reikėjo padaryti, buvo įdėti į paieškos terminą ir gauti milijonus rezultatų, tiesiog akimirksniu - aiškiu tekstu per žiniatinklio programą."

Taip …

Dėl tokio dalyko nacionalinis kibernetinio saugumo centras taip pat dabar rekomenduoja, kad administratoriai paskatintų žmones naudoti slaptažodžių valdytojų programinę įrangą, kad padidėtų tikimybė, kad žmonės naudosis skirtingais slaptažodžiais skirtingoms sistemoms.

Galų gale, nė viena sistema niekada nebus visiškai saugi, nesvarbu, kaip tai gerai suprojektuota, atvedė mus prie trijų auksinių kompiuterių saugumo taisyklių, kurias parašė minėtas garsus kriptografas Robertas Morrisas: "neturite kompiuterio; nejunkite jo; ir nenaudokite ".

Premijos faktas: