Kas izgudroja datora paroles?

2024 Autors: Sherilyn Boyd | [email protected]. Pēdējoreiz modificēts: 2024-01-16 10:16

Šķiet, ka kaut kas līdzīgs parolēm ir izmantots vismaz tik ilgi, kamēr cilvēki ir ierakstījuši vēsturi. Piemēram, viena no agrākajām atsaucēm uz kaut ko līdzīgu parolei ir pieminēta Tiesnešu grāmatā, kas pirmo reizi tika ierakstīta aptuveni 6. vai 7. gadsimtā pirms mūsu ēras. Konkrēti, tiesneši 12:

Gileadieši ņēma Jordānas šķēršļus pirms Efrahmiešiem. Un tas bija tā, ka, kad tie efrahieši, kas bija izbēguši, sacīja: Ļaujiet man iet tālāk; ka Gileādas vīri sacīja tam: vai tu esi Efraimietis? Ja viņš teica: nē;

Tie atbildēja viņam: sacīdams: Šibbole! Un viņš sacīja Sibboletu: jo viņš nevarēja iet runa, lai izrunātu to pareizi. Tad viņi paņēma viņu un nogalināja viņu Jordānas šķērsošanas vietās …

Ir zināms, ka vēsturē tiek strauji pāradresēta vēsture, un romiešu leģionāri ir izmantojuši vienkāršu frāžu sistēmu, lai noteiktu, vai svešinieks ir draugs vai ienaidnieks. Otrs gadsimts pirms grieķu vēsturnieka Polibiusa pat sīki apraksta, kā darbojas paroles sistēma, lai visi zinātu, kāda ir pašreizējā parole:

… no desmitās manipulācijas katras kājnieku un kavalērijas klases, maniple, kas atrodas uz ielas apakšējā gala, tiek izvēlēts cilvēks, kurš tiek atbrīvots no apsardzes pienākumiem, un viņš katru dienu apmeklē saulrieta tribunes teltī, un, saņemot no viņa vārdu, kas ir koka tablete ar uzrakstu uz tā, paņem atvaļinājumu un, atgriežoties pie savām ceturtdaļām, pāriet uz svētnīcas un tabletes pirms lieciniekiem nākamā manipleja komandierim, kurš savukārt iet to uz nākamo viņu. Visi dara to pašu, līdz tas sasniedz pirmos maniples, kas atrodas uz tribīņu teltīm. Šīs pēdējās ir pienākums piegādāt tableti tribīnes pirms tumsas. Tātad, ja visi atdotie tiek atdoti, tribīne zina, ka vārds ir dota visiem maniples, un ir nokļuvis viss ceļā atpakaļ uz viņu. Ja kāds no viņiem trūkst, viņš nekavējoties veic izmeklēšanu, jo viņš zina, no kāda ceturkšņa tabletes nav atgriezušās, un kurš ir atbildīgs par apstāšanos, atbilst ar sodu, kuru viņš ir pelnījis.

Rietumu vēsturnieks Suetonius pat pieminēja cēzaru, izmantojot vienkāršu šifru, kas prasīja saņēmējam zināt atslēgu, šajā gadījumā precīzu reižu skaitu, lai mainītu alfabētu, lai atšifrētu ziņojumu.

Attiecībā uz vairāk mūsdienu laikiem, pirmo pazīstamo paroles sistēmas piemēru elektroniskajā datorā ieviesa tagadējais pensionējušais datoru zinātņu profesors Masačūsetsas Tehnoloģijas institūtā Fernando Corbato. 1961. gadā MIT bija milzīgs laika dalīšanas dators, ko sauc par saderīgu laika koplietošanas sistēmu (CTSS). 2012. gada intervijā Corbato paziņos: "Galvenā problēma (ar CTSS) bija tāda, ka mēs izveidojām vairākus termināļus, kurus izmantoja vairākas personas, bet katrai personai bija savs privāts failu kopums. Katram atsevišķam lietotājam ievadot paroli kā atslēgu, šķita ļoti vienkāršs risinājums."

Pirms turpinām jāpiemin tas, ka Corbota vilcinās ņemt vērā to, ka tā ir pirmā, kas ievieš datora paroles sistēmu. Viņš iesaka, ka IBM 1960. gadā uzbūvēta ierīce sauca pusautomātisko biznesa izpētes vidi (Sabre), kas bija (un joprojām ir modernizētā veidā) ceļojumu rezervēšanas veikšanai un uzturēšanai, iespējams, izmantoja paroles. Tomēr, kad IBM sazinājās ar to, viņi nezināja, vai sistēmai sākotnēji bija šāda drošība. Un tā kā neviens, šķiet, nav izdzīvojušais ieraksts par to, vai tas ir izdarīts, Corbato, šķiet, ir universāli piešķirts kredīts, jo tas ir pirmais, kurš šādu sistēmu izveido elektroniskā datorā.

Protams, problēma ar šīm agrīnām proto-parolēm ir tā, ka visas tās tika glabātas vienkāršā tekstā, neskatoties uz to, ka tas ievieš plaisu.

Šajā piezīmē 1962. gadā PHD studente Allan Scherr izdevās iegūt CTSS, lai izdrukātu visas datora paroles. Scherr atzīmē,

Varēja pieprasīt, lai faili tiktu drukāti bezsaistē, iesniedzot perforētu karti ar konta numuru un faila nosaukumu. Vēlu piektdienas vakarā es iesniedzu pieprasījumu izdrukāt paroles failus un ļoti agri sestdien no rīta devās uz failu kabinetu, kur tika izdrukāti izdrukas … Es pēc tam varētu turpināt savu mašīnu laiciņu.

Šī "larceny" bija vienkārši iegūt vairāk nekā četras stundas piešķirto ikdienas datora laiku viņš bija piešķirts.

Pēc tam Scherr koplietoja paroļu sarakstu, lai izkliedētu viņa iesaistīšanos datubāzē. Tajā laikā sistēmas administratori vienkārši domāja, ka kaut kur ir bijusi kļūda paroļu sistēmā, un Scherr nekad netika nozvejotas. Mēs tikai zinām, ka viņš bija atbildīgs, jo viņš autiņi uzņēma gandrīz pusi gadsimtu vēlāk, ka tas bija tas, kurš to darīja. Šis nelielais datu pārrāvums padarīja viņu par pirmo pazīstamo personu, kura nozagoja datora paroles, ko dators pionieris šodien dēvē par diezgan lepnu.

Par laimi, saskaņā ar Scherr teikto, lai gan daži cilvēki izmantoja paroles, lai uz mašīna iegūtu vairāk laika, lai palaistu simulācijas un tamlīdzīgi, citi nolēma tos izmantot, lai pieslēgtos to personu kontiem, kuriem viņiem nepatīk tikai atstāt aizvainojošus ziņojumus.Kas tikai parāda, ka pēdējo pusgadsimtu laikā datori, iespējams, ir daudz mainījušies, protams, nav.

Jebkurā gadījumā, aptuveni 5 gadus vēlāk, 1966. gadā, CTSS atkal piedzīvo milzīgu datu bojājumu, kad nejauši ievadītais administrators nejauši sajauca failus, kuros katram lietotājam tika parādīts sveiciena ziņojums un galvenais paroles fails … Šī kļūda redzēja katru paroli, kas saglabāta mašīna tiek parādīta jebkuram lietotājam, kas mēģināja pieteikties CTSS. CTSS inženiera Tom Van Vleck piecdesmitajā gadadienā pieminētajā grāmatā lēnprātīgi atgādināja "Paroles incidentu" un jokingly atzīmēja: "Protams, tas notika piektdien plkst. 17:00, un man bija jāpavada vairākas neparedzētas stundas, mainot cilvēku paroles."

Lai atrisinātu visu vienkāršās teksta paroles problēmu, Roberts Moriss izveidoja UNIX vienvirziena šifrēšanas sistēmu, kas vismaz to teorētiski padarīja pat tad, ja kāds varētu piekļūt paroli datu bāzei, viņi nevarētu pateikt, kas kāda no parolēm bija. Protams, ar panākumiem skaitļošanas jaudā un gudri algoritmi, vēl gudrākas šifrēšanas shēmas bija jāattīsta … un cīņa starp balto un melno cepuru drošības ekspertiem kopš tā laika diezgan daudz turpina darboties.

Tas viss novedis pie tā, ka 2004. gadā slavenā uzstājās Bill Gates, "[Paroles] vienkārši neizdodas novērst to, ko patiešām vēlaties aizsargāt."

Protams, lielākā drošības caurums parasti nav algoritms un programmatūra, bet gan paši lietotāji. Kā jau slavens XKCD radītājs Randāls Munros, kad to tik ļoti uztrauca: "Ar 20 gadu pūliņiem mēs esam veiksmīgi apmācījuši ikvienu lietot paroles, kuras cilvēkiem ir grūti atcerēties, bet datoriem ir viegli uzminēt."

Par šo mācību uzdevumu, kas liek cilvēkiem izdarīt sliktas paroles, vainu par to var izsekot pēc plaši izplatītām rekomendācijām no Nacionālā standartu un tehnoloģiju institūta, kas publicēta lapas turētājā, kas bija astoņu lapu NIST speciālā publikācija 800-63. A pielikums, ko 2003. Gadā uzrakstījis Bils Burts.

Cita starpā Burr ieteica izmantot vārdus ar nejaušām rakstzīmēm, kas ir aizstātas, tostarp pieprasot lielos burtus un ciparus, un sistēmas administratoriem, regulāri mainot savas paroles, lai nodrošinātu maksimālu drošību …

No šiem šķietami visaptverošiem ieteikumiem, tagad atvaļināts Burr paziņoja intervijā ar Wall Street Journal, "Lielu daļu no tā, ko es darīju, es tagad nožēloju …"

Lai būtu taisnīga pret Burru, pētījumi, kas saistīti ar paroļu cilvēka psiholoģijas aspektu, lielākoties nebija pieejami brīdī, kad viņš uzrakstīja šos ieteikumus, un teorētiski noteikti viņa ieteikumi vismaz būtu bijis ļoti nedaudz drošāki no skaitļošanas perspektīvas nekā parastu vārdu lietošana.

Problēma ar šiem ieteikumiem ir norādīta britu nacionālajā kiber drošības centrā (NCSC), kas apgalvo, ka "šī paroles izmantošana un arvien sarežģītākas paroles prasības rada lielāku lietotāju skaitu nereāli. Neizbēgami lietotāji izstrādās savus pārvarēšanas mehānismus, lai tiktu galā ar "paroles pārslodzi". Tas ietver paroļu norakstīšanu, atkārtotu to pašu paroli dažādās sistēmās vai vienkāršu un paredzamu paroles izveides stratēģiju."

Šajā punktā Google 2013. gadā veica nelielu pētījumu par cilvēku parolēm un atzīmēja, ka lielākā daļa savu paroļu shēmā izmanto vienu no šīm tēmām: pet, ģimenes locekļa vai partnera vārds vai dzimšanas diena; gadadiena vai cits nozīmīgs datums; dzimšanas vieta; mīļākie svētki; kaut ko darīt ar mīļāko sporta komandu; un, neizskaidrojams, vārds parole …

Tātad, visbeidzot, lielākā daļa cilvēku izvēlas paroles, kuru pamatā ir informācija, kas ir viegli pieejama hakeriem, un kas savukārt var salīdzinoši viegli izveidot brutālu spēku algoritmu, lai salauztu paroli.

Par laimi, kamēr jūs, iespējams, to nezināt no visbiežāk izmantojamo sistēmu, kas joprojām prasa no jums vislabāk iespaidot, vai Will Hunting iestatīs paroli, lielākā daļa drošības konsultāciju vienību ir būtiski mainījuši savus ieteikumus pēdējos gados.

Piemēram, iepriekš minētais NCSC tagad iesaka, cita starpā, ka sistēmas administratori pārstāj padarīt lietotājus nomainīt paroles, ja sistēmā nav zināms paroli pazaudējumam, piemēram, "Tas rada slogu lietotājam (kurš, iespējams, izvēlas jaunas paroles, kas ir tikai nelielas variācijas vecajās), un tam nav reālu labumu … "Vēl atzīmējot, ka pētījumi ir parādījuši, ka" regulāra paroles maiņa kaitē, nevis uzlabo drošību …"

Vai arī kā fiziķi un atzīmēja Computer Research Scientist Dr Alans Woodward no Surrey Universitātes atzīmē: "Jo vairāk jūs lūdzat kādam mainīt savu paroli, jo vājākas paroles viņi parasti izvēlas."

Līdzīgi, pat pilnīgi nejaušs rakstzīmju kopums ar parastu prasību garumu ir relatīvi jutīgs pret brutālu spēku uzbrukumiem bez papildu drošības pasākumiem. Tāpat Nacionālais standartu un tehnoloģiju institūts ir arī atjauninājis savus ieteikumus, tagad iedrošina adminus, lai cilvēki koncentrētos uz garām, bet vienkāršām parolēm.

Piemēram, parole, piemēram, "Mana parole ir diezgan viegli atcerēties". Parasti tā būs daudz lielāka drošība nekā "[email protected] @ m3! 1" vai pat "* ^ sg5! J8H8 * @ #! ^"

Protams, lietojot šādas frāzes, lieta viegli atceras, tā joprojām neaptver problēmu, ka šķietami iknedēļas notikums ir daži galvenie pakalpojumi, kuru datubāzi ir uzlauzti, un šīs sistēmas dažreiz izmanto vāju šifrēšanu vai pat vispār nevienu no tiem Personīgo datu pieejamība, tostarp personas vārdi, sociālā nodrošinājuma numuri, dzimšanas datumi un adreses, tiek pakļauti privāto datu un paroļu uzglabāšanai, piemēram, nesenajam Equifax hackam, kas redzēja 145,5 miljonus cilvēku ASV. (Pāri dīķim Equifax arī norādīja, ka aptuveni 15 miljoni Apvienotās Karalistes pilsoņu arī bija nozagti.)

Pirmajā iepriekš minētajā paroles banalizācijā, kas prasīja Scherr, lai vienkārši pieprasītu, lai paroli failu izdrukāt, šķiet, ka, lai iegūtu piekļuvi liela apjoma personas datu Equifax veikali cilvēkiem, anonīms datoru drošības eksperts teicis Mātesplate, "Viss, kas jums bija jādara, bija jāievieto meklēšanas noteikumos un iegūstiet miljonus rezultātu, tikai tūlīt - izmantojot skaidru tekstu, izmantojot tīmekļa lietotni."

Jā …

Ņemot vērā šāda veida lietām, National Cyber Security Center tagad arī iesaka adminiem mudināt lietotājus izmantot paroli vadītāja programmatūru, lai palīdzētu palielināt varbūtību, ka cilvēki izmanto dažādas paroles dažādām sistēmām.

Galu galā neviena sistēma nekad nebūs pilnībā droša, neatkarīgi no tā, cik tā ir labi izstrādāta, tādējādi mūs uzdodot trīs zelta datoru drošības noteikumus, ko sarakstījis iepriekšminētais slavens kriptogrāfs Roberts Moriss: "nav sava datora; nedarbiniet to; un nelietojiet to."

Bonusa fakts: