Kdo je izumil računalniška gesla?

2024 Avtor: Sherilyn Boyd | [email protected]. Nazadnje spremenjeno: 2024-01-16 10:18

In Gileadci so vzeli Jordanove prelete pred Efraimovci in tako je bilo, ko so rekli tisti Efrajimci, ki so jih pobegnili: "Pojdite mi, da mu Gileadovi ljudje reko: "Si ti Efraiman?" Če bi rekel: Ne;

Tedaj so mu rekli: »Reci zdaj Shibboleth!« In rekel je Siboletu, ker ni mogel reči, da bi ga pravilno izgovoril. Potem so ga vzeli in ga ubili na odlomkih Jordana …

Za hitro posredovanje zgodovine in rimski legionarji se uporablja preprost sistem gesel, da bi ugotovili, ali je tujec prijatelj ali sovražnik. Grški zgodovinar drugega stoletja pred našim štetjem, Polybius, podrobno opisuje, kako je sistem gesel delal v smislu, da so vsi vedeli, kaj je trenutno geslo:

… od desetega človeka vsakega razreda pehote in konjenice, človeka, ki je utaborjen na spodnjem koncu ulice, se izbere človeka, ki se razbremeni iz straže in vsak dan ob sončnem zahodu pri šotoru tribune in od njega prejmejo geslo - to je lesena tableta z napisano besedo - vzame dopust in po vrnitvi v svoje prostore preide na besedo in tablico pred pričami poveljniku naslednjega človeka, ki nato preide na tisto, ki mu sledi. Vsi delajo enako, dokler ne doseže prvih maniplesov, tisti, ki so bili utaborjeni v bližini šotorov tribun. Slednji morajo pred temno tableto dostaviti na tribune. Če se vrnejo vsi izdani, tribuna ve, da je bila gesla dana vsem manijam in da je vse prešel nazaj k njemu. Če kateri koli od njih manjka, takoj poizvedi poizvedbe, saj z znamkami ve, iz katere četrtine se tableta ni vrnila, in kdor je odgovoren za zaustavitev, ustreza kazni, ki jo zasluži.

Rimski zgodovinar Suetonius celo omenja Cezarja z uporabo preproste šifre, ki od prejemnika zahteva vedeti ključ, v tem primeru pravilnega števila krat za premikanje abecede, da dešifrira sporočilo.

V sodobnejših časih je prvi znani primer geselnega sistema na elektronskem računalniku opravil upokojeni profesor računalništva na Tehničnem inštitutu za tehnologijo v Massachusettsu Fernando Corbato. Leta 1961 je MIT imel ogromen računalniški delovni čas, ki se imenuje Združljivi časovni sistem (CTSS). Corbato bi v intervjuju za leto 2012 navedel: "Ključna težava [s CTSS-jem] je bila, da smo nastavili več terminalov, ki jih je moralo uporabiti več oseb, vendar je vsaka oseba imela svoj zasebni niz datotek. Vstavljanje gesla za vsakega posameznega uporabnika kot ključavnice se je zdelo zelo preprosta rešitev."

Nekaj, kar moramo omeniti, preden nadaljuje, je, da Corbota ne more sprejeti kreditov, ker je prvi izvajal sistem računalniškega gesla. Predlaga, da je naprava, ki jo je leta 1960 zgradil IBM, imenovala Polavtomatsko poslovno raziskovalno okolje (Sabre), ki je bila (in še vedno je v nadgrajeni obliki), ki se uporablja za izdelavo in vzdrževanje potovalnih rezervacij, verjetno uporabljena gesla. Vendar, ko je bil IBM o tem obveščen, niso bili prepričani, ali je sistem prvotno imel takšno varnost. In ker nihče nima nobenega preostalega zapisa o tem, ali je storil, je Corbato navidezno vsesplošno dan, ker je prvi postavil tak sistem na elektronski računalnik.

Seveda je težava s temi zgodnjimi protobarnami, da so bili vsi shranjeni v navadnem besedilu, kljub temu, da se ta varnostna luknja ustvarja.

V zvezi s tem je leta 1962 študent PHD, ki je bil imenovan Allan Scherr, uspel dobiti CTSS, da natisne vse gesla računalnika. Scherr ugotavlja,

Obstajal je način, kako zahtevati, da se datoteke natisnejo brez povezave, tako da pošljejo pikčasto kartico s številko računa in ime datoteke. Pozno v petek zvečer sem vložil zahtevo za tiskanje datotek z geslom in zelo zgodaj v soboto zjutraj sem šel v omarico za datoteke, kjer so bili izpisani … Potem sem lahko nadaljeval z mrzlico strojnega časa.

Ta "tatvina" je preprosto dobila več kot štiri ure dnevnega računalniškega časa, ki mu je bil dodeljen.

Scherr je nato delil seznam gesel, s katerim je zapletel svojo udeležbo pri zbijanju podatkov. Sistemski skrbniki so v preteklosti preprosto mislili, da je v gesla nekje prišlo do napake in da Scherr ni bil nikoli ujet. Vemo le, da je odgovoren, ker je jezno sprejel skoraj pol stoletja pozneje, da je to storil. Ta majhna kršitev podatkov je postala prva znana oseba, ki je ukradla računalniška gesla, kar se danes pionir računalnika zdi ponosen.

V skladu s Scherrjem, medtem ko so nekateri ljudje uporabili gesla, da bi dobili več časa na napravi za izvajanje simulacij in podobno, so se drugi odločili, da jih uporabijo za prijavo v račune ljudi, za katere jim ni bilo všeč, da zapustijo žalilna sporočila.Kar samo kaže, da so se lahko računalniki v zadnjem pol stoletju veliko spremenili, ljudje pa zagotovo niso.

V vsakem primeru, približno 5 let kasneje, leta 1966, CTSS spet doživlja ogromno kršitev podatkov, ko je naključni administrator pomotoma zamenjal datoteke, ki so prikazovale pozdravno sporočilo vsakemu uporabniku in glavni datoteki gesel … Ta napaka je videla vsa gesla, shranjena v naprava je prikazana vsakemu uporabniku, ki se je poskušal prijaviti v CTSS. V prispevku ob petdeseti obletnici inženirja CTSS-a Tom Van Vleck je lepo opozoril na "Incident za gesla" in se šalil na to: "Seveda se je to zgodilo ob petih v petek, zato sem moral preživeti nekaj nenačrtovanih ur, ki spreminjajo gesla ljudi."

Kot način, kako se lotiti celotnega problema z geslom z besedilom, je Robert Morris ustvaril enosmerni šifrirni sistem za UNIX, ki ga je vsaj v teoriji naredil, čeprav bi nekdo lahko dostopal do baze podatkov gesel, ne bi mogli povedati, kaj katera koli gesla so bila. Seveda, z napredkom v računalniški moči in pametnimi algoritmi, je bilo treba razviti še bolj pametne šifrirne sheme … in bitka med varnostnimi strokovnjaki iz bele in črne klobuke je od takrat precej vodila naprej in nazaj.

Vse to je pripeljalo do Bill Gatesa, ki je leta 2004 znano izjavil: »[Gesla] preprosto ne izpolnjujejo izziva za vse, kar resnično želite zaščititi.«

Seveda največja varnostna luknja na splošno ni algoritem in uporabljena programska oprema, temveč uporabniki sami. Kot znani ustvarjalec XKCD-a, je Randall Munroe nekoč tako močno povedal: "Skozi 20-letni trud smo uspešno usposobili vsakogar, da uporablja gesla, ki jih ljudje težko zapomnijo, vendar jih računalnik lahko prepozna."

Na tej opombi o usposabljanju ljudi, da naredijo slaba gesla, je krivda za to mogoče izslediti na široko razširjena priporočila nacionalnega inštituta za standarde in tehnologijo, ki je bila objavljena v stružnici strani, ki je bila osem strani NIST Special Publication 800-63. Dodatek A, ki ga je napisal Bill Burr leta 2003.

Med drugim je Burr priporočil uporabo besed z naključnimi znaki, ki so jih nadomestili, vključno z zahtevo velikih črk in številk, in da so sistemski skrbniki ljudje redno spreminjali gesla za največjo varnost …

Od teh navidezno splošno sprejetih priporočil je zdaj upokojeni Burr v intervjuju z Wall Street Journal, "Veliko tega, kar sem storil, zdaj obžalujem …"

Če bi bili pošteni do Burrja, so bile študije v zvezi z vidikom človeške psihologije gesel v času, ko je napisal ta priporočila, v veliki meri neobstoječe in v teoriji bi morali biti vsaj njegovi predlogi vsaj računalniški bolj varni od običajnih besed.

Problem s temi priporočili je izpostavil British National Cyber Security Center (NCSC), ki navaja: "to povečano uporabo gesel in vedno zahtevnejše zahteve za gesel postavlja nerealno povpraševanje večini uporabnikov. Neizogibno bodo uporabniki pripravili svoje lastne mehanizme za obvladovanje, da bi se spopadli s preobremenitvijo gesla. To vključuje zapisovanje gesel, ponovno uporabo istega gesla v različnih sistemih ali z uporabo preprostih in predvidljivih strategij za ustvarjanje gesel."

Do te točke je Google v letu 2013 izvedel hitro študijo o osebnih geslih in opozoril, da večina ljudi uporablja v svojih geselnih sistemih eno izmed naslednjih: ime ali rojstni dan hišnega, družinskega člana ali partnerja; obletnico ali drug pomemben datum; rojstni kraj; najljubši oddih; nekaj opraviti z najljubšo športno ekipo; in, nepojasnjeno, besedo geslo …

Torej, spodnja vrstica, večina ljudi izbere gesla, ki temeljijo na informacijah, ki so lahko dostopne hekerjem, ki nato lahko sorazmerno enostavno ustvarijo algoritem za brutalno silo, da se zgrabijo geslo.

K sreči, medtem ko ga morda ne poznate iz vsepovsod v sistemih, ki še vedno zahtevajo od vašega najboljšega vtisa Will Hunting, da nastavite geslo, je večina varnostnih svetovalcev v zadnjih letih drastično spremenila svoja priporočila.

Na primer, prej omenjeni NCSC zdaj med drugim priporoča, da skrbniki sistema prenehajo, da bi ljudje spremenili gesla, razen če v sistemu obstaja znana kršitev gesel, kot je: "To nalaga bremena uporabnika (kdo bo verjetno izbral nova gesla, ki so samo manjše spremembe starega) in ne prinaša nobenih dejanskih koristi … "Nadalje ugotavlja, da so študije pokazale, da" Redno spreminjanje gesla škodi namesto izboljša varnost …"

Ali kot fiziki in opozoriti računalniški znanstvenik dr. Alan Woodward z Univerze v Surrey ugotavlja, "bolj pogosto prositi nekoga, da spremeni svoje geslo, šibkejše pa so gesla, ki jih običajno izberejo."

Podobno je celo popolnoma naključen niz znakov pri dolžini tipičnih gesel sorazmerno dovzeten za napade z brutalno silo brez nadaljnjih varnostnih ukrepov. Tako je Nacionalni inštitut za standarde in tehnologijo prav tako posodobil svoja priporočila, zdaj pa spodbuja skrbnike, da se ljudje osredotočajo na dolgotrajna, a preprosta, gesla.

Na primer, geslo, kot je »Moje geslo je precej enostavno zapomniti«, bo na splošno bolj varno kot "[email protected] @ m3! 1" ali celo "* ^ sg5! J8H8 * @ #! ^"

Seveda med uporabo takih besednih zvez preprosto zapomni, se še vedno ne ukvarja s problemom navideznega tedenskega pojavljanja nekaterih večjih storitev, pri katerih je bila njihova zbirka podatkov hacked, pri čemer omenjeni sistemi včasih uporabljajo šibko šifriranje ali celo sploh ne shranjevanje zasebnih podatkov in gesel, kot je nedavni kramp Equifax, v katerem je bilo 145,5 milijona ljudi v ZDA izpostavljenih osebnih podatkov, vključno s polnimi imeni, številkami socialnega zavarovanja, rojstnimi datumi in naslovi. (Preko ribnika je Equifax zabeležil tudi približno 15 milijonov državljanov Združenega kraljestva, ki so jim bili ukradeni tudi njihovi zapisi.)

V odtenkih prvega prej omenjenega gesla, ki je že omenil, ki je zahteval, da je šerr zahteval, da se geslo natisne, se izkaže, da je dostop do ogromne količine osebnih podatkov Equifaxove trgovine na ljudeh, povedal anonimni strokovnjak za računalniško varnost Matična plošča, "Vse, kar ste morali storiti, je bilo, da v iskalni izraz uvrstite milijone rezultatov, samo takoj - v črto, prek spletne aplikacije."

Ja …

Zaradi te vrste, nacionalni center Cyber Security Center zdaj tudi priporoča, da skrbniki spodbujajo ljudi k uporabi programske opreme za upravljanje gesel, da bi povečali verjetnost, da ljudje uporabljajo različna gesla za različne sisteme.

Na koncu noben sistem nikoli ne bo popolnoma varen, ne glede na to, kako dobro je zasnovan in nas pripelje do treh zlatih pravil o računalniški varnosti, ki jih je napisal omenjeni znameniti kriptograf Robert Morris: "ne posedujete računalnika; ne vklopite ga; in ne uporabljajte."

Bonusovo dejstvo:

V času vsakdanjega življenja, ki je shranjeno na spletu na strežnikih različnih podjetij - na splošno so vsi zaščiteni z gesli, je Univerza v Londonu v nedavni študiji zapisala, da približno 10% ljudi zdaj v svoji volji vnese seznam njihovih splošnih gesel prepričani, da lahko ljudje dostopajo do svojih podatkov in računov, ko umrejo. Zanimivo je, da je problem ljudi, ki to dejansko ne počnejo, dejstvo, da so po napadih 11. septembra povzročili velik problem. Na primer, Howard Lutnick, nekdanji izvršni direktor Cantor Fitzgerald, je omenil svojo precej nezavidljivo nalogo, da bi morali izslediti gesla skoraj 700 zaposlenih, ki so umrli v napadu. Zaradi kritičnega pomena, da je podjetje imelo dostop do svojih datotek neposredno pred večernimi obveznicami, je moral s svojim osebjem poklicati mrtve od mrtvih, da bi zahtevali gesla ali kakšna gesla bi lahko bila isti dan … K sreči za podjetje je večina gesel zaposlenih temeljila na prej omenjenih pomanjkljivih priporočilih Bill Burr - sorte "J3r3my!". To, v kombinaciji s posebnimi osebnimi podatki od najdražjih, ki jih je Lutnick zbral, je dovolil ekipi, ki jo je Microsoft poslal, da sorazmerno zlahka razpne neznane gesla z brutalno silo v kratkem zaporedju.