Кой измисли компютърни пароли?

2024 Автор: Sherilyn Boyd | [email protected]. Последно модифициран: 2024-01-16 10:17

А галаадците взеха Йорданските проходи пред ефремците; и така беше, когато онези, които бяха избягали от Ефрем, казаха: Нека отивам; че галаадските мъже му казаха: Ти ли си Ефремов? Ако той каза: Не;

Тогава му казаха: Кажи сега Шиволет; и той каза Сиболет, защото не можеше да се замисли, за да го обяви за правилно. Тогава го хванаха и го убиха в проходите на Йордан …

Бързо пренасочване малко в историята и римските легионери са известни, че са използвали проста система от пароли за разпознаване дали непознат е приятел или враг. Втори век пр.н.е. гръцкият историк Полибий дори подробно описва как работи паролата за гарантиране, че всеки знае коя е сегашната парола:

… от десетата манипулация на всеки клас пехота и кавалерия, манипулацията, която е разположена в долния край на улицата, се избира човек, освободен от охраната, и всеки ден посещава при залез слънце в шатрата на трибуната, и получава от него паролата - дървена таблетка с думата, която е написана на нея - отнема отпуската си и след като се връща в стаята си, минава над главата и таблета пред свидетели на командира на следващия манипулатор, който на свой ред минава на този до него. Всички правят същото, докато не стигнат до първите манипулации, които се разположиха на стан близо до шатрите на трибуните. Последните са длъжни да донесат таблетката до трибуните преди залез слънце. Така че, ако всички издадени се връщат, трибуната знае, че на всички манипулации е дадена паролата и е преминала през всички, които са се върнали при него. Ако някой от тях липсва, той незабавно потърси запитване, тъй като знае със знаците от кой квартал таблетът не се е върнал, и кой е отговорен за спирането, се среща с наказанието, което заслужава.

Римският историк Сутониус дори споменава Цезар като използва прост шифър, който изисква от получателя да знае ключ, в този случай правилният брой пъти за преместване на азбуката, за да разчете посланието.

Що се отнася до по-модерните времена, първият известен пример за система за пароли на електронен компютър беше изпълнен от сегашния пенсиониран професор по компютърни науки в Масачузетския технологичен институт Фернандо Корбато. През 1961 г. MIT разполага с гигантски компютър за споделяне на времето, наречен Compatible Time-Sharing System (CTSS). В интервю за 2012 г. Corbato ще заяви: "Ключовият проблем [с CTSS] беше, че създаваме множество терминали, които биха били използвани от множество лица, но всеки от тях има свой личен набор от файлове. Поставянето на парола за всеки отделен потребител като ключалка изглеждаше като много лесно решение."

Нещо, което трябва да споменем, преди да продължим, е, че Corbota се колебае да се заеме с това, че е първият, който въведе система за компютърна парола. Той предполага, че устройство, построено през 1960 г. от IBM, наречено Semi-Automatic Business Research Environment (Saber), което беше (и все още е в обновена форма), използвано за извършване и поддържане на резервации за пътувания, вероятно използва пароли. Въпреки това, когато IBM беше уведомена за това, те не бяха сигурни дали системата първоначално е имала такава сигурност. И тъй като никой не изглежда да има някакъв оцелял рекорд за това дали го е направил, Корбато изглежда като универсално признание за това, че е първият, който постави такава система на електронен компютър.

Разбира се, въпросът с тези ранни протопайзии е, че всички те са били съхранявани в обикновен текст, въпреки прозрачната дупка за сигурност, която въвежда.

На тази бележка, през 1962 г., един студент по философия, наречен Allan Scherr, успял да накара CTSS да отпечата всички пароли на компютъра. Скер отбелязва,

Имаше начин да поискате да бъдат отпечатани офлайн файлове, като изпратите пробита карта с номера на сметката и името на файла. Късно една петък вечер подадох искане за отпечатване на паролите и много рано събота сутрин отидох в кабинета на файла, където бяха поставени разпечатките … След това щях да продължа моя кражба на машинно време.

Този "кражба" просто е получил повече от четирите часа разпределени дневни компютърни времена, които му бяха дадени.

След това Схедър сподели списъка с пароли, за да подтисне участието му в данните. Системните администратори по това време просто смятаха, че някъде в паровата система е трябвало да има някаква грешка, а Скрар никога не е бил уловен. Знаем само, че той е бил отговорен, защото той погрешно признава почти половин век по-късно, че той го е направил. Този малък пробив на данни го превръща в първият известен човек, който краде компютърни пароли, нещо, което компютърният пионер изглежда доста горд от днес.

Любопитно, според Скърр, докато някои хора използват паролите, за да получат повече време на машината, за да изпълняват симулации и други подобни, други решиха да ги използват, за да влязат в сметките на хора, които не им хареса просто да напуснат обидни послания.Което просто показва, че макар компютрите да са се променили много през последния половин век, хората със сигурност не са.

Във всеки случай, около 5 години по-късно, през 1966 г., CTSS отново изпитва огромно нарушение на данните, когато случаен администратор случайно смесва файловете, показващи послание до всеки потребител и главната парола … Тази грешка видя всяка парола, съхранявана на като машината се показва на всеки потребител, който се е опитал да влезе в CTSS. В една статия, посветена на петдесетата годишнина от инженера на CTSS Том Ван Влек, приятно припомни "Паровия инцидент" и шеговито отбеляза: "Естествено, това стана в петък в 17 часа и аз трябваше да прекарам няколко непланирани часа, променящи паролата на хората.

Като начин да овладее целия проблем с паролата на обикновен текст, Робърт Морис създаде еднопосочна криптираща система за UNIX, която поне го направи на теория, дори ако някой може да получи достъп до базата данни за пароли, те няма да могат да разберат какво всяка от паролите беше. Разбира се, с напредъка в изчислителната мощ и умни алгоритми, трябваше да се развият още по-умни кодиращи схеми … и битката между експертите по сигурността на бели и черни шапки почти досега се е предавала напред и назад.

Всичко това доведе до това, че Бил Гейтс изтъкна през 2004 г., че "[Passwords] просто не отговарят на предизвикателството за всичко, което наистина искате да защитите".

Разбира се, най-голямата дупка за сигурност обикновено не е използваните алгоритми и софтуер, а самите потребители. Известният създател на XKCD, Рандъл Мъной, веднъж толкова изразително казал: "Чрез 20 години усилия успешно сме подготвили всички да използват пароли, които са трудни за хората да си спомнят, но за компютрите е лесно да се досетите."

На тази бележка за обучението на хората да правят лоши пароли, вината за това може да бъде проследена до широко разпространените препоръки от Националния институт за стандарти и технологии, публикувани в страницата, която е била осемте страници на NIST Special Publication 800-63. Приложение А, написано от Бил Бур през 2003 г.

Наред с други неща, Бър препоръчва използването на думи с заместени произволни знаци, включително изискване на главни букви и цифри, и системните администратори трябва редовно да променят паролите си за максимална сигурност …

От тези привидно общоприети препоръки сегашният пенсионер Бур заяви в интервю за Wall Street Journal, "Много от това, което направих, сега съжалявам …"

За да бъдем верни на Burr, проучванията, свързани с аспекта на паролата за човешката психология, в повечето случаи не са съществували в момента, когато е написал тези препоръки, и на теория определенията му най-малкото би трябвало да са малко по-сигурни от изчислителна гледна точка, отколкото да използват обикновени думи,

Проблемът с тези препоръки се посочва от британския Национален център за кибернетична сигурност (NCSC), който заявява, че "това увеличаване на използването на пароли и все по-сложните изисквания за пароли поставя нереалистично търсене на повечето потребители. Неизбежно потребителите ще разработят свои собствени механизми за справяне с "претоварването с парола". Това включва записване на пароли, повторно използване на една и съща парола в различни системи или използване на прости и предвидими стратегии за създаване на пароли."

До този момент Google направи малко бързо проучване на потребителските пароли през 2013 г. и отбеляза, че повечето хора използват в схемата си за пароли едно от следните: Име или рожден ден на домашен любимец, член на семейството или партньор; годишнина или друга значима дата; родно място; любима почивка; нещо общо с любимия спортен отбор; и, необясними, думата парола …

Така че, в крайна сметка, повечето хора избират пароли, които се основават на информация, която е лесно достъпна за хакери, които след това могат от своя страна сравнително лесно да създадат алгоритъм за груба сила, за да пробият паролата.

За щастие, макар че може да не го знаете от вездесъщите системи, които все още ви изискват да направите най-доброто ви впечатление от Will Hunting за задаване на парола, повечето консултантски организации по сигурността драстично променят препоръките си през последните няколко години.

Например, горепосочената NCSC сега препоръчва, наред с други неща, системните администратори да спрат да правят хората да променят пароли, освен ако има известно нарушение на паролата в системата като "Това налага бреме на потребителя (който е вероятно да избере нови пароли, които са само незначителни вариации на старите) и не носи никакви реални ползи … "Освен това, отбелязвайки, че проучванията показват, че" редовната промяна на паролата вреди, а не подобрява сигурността …"

Или като физици и отбелязва, че компютърният учен д-р Алън Уудуърд от Университета в Съри отбелязва, "колкото по-често се питате някой да промени паролата си, толкова по-слаби са паролите, които те обикновено избират".

По същия начин, дори напълно случайно набор от знаци при типични дължини на изискване за парола е относително податлив на атаки на груба сила без допълнителни мерки за сигурност. Като такъв, Националният институт за стандарти и технологии също така актуализира своите препоръки, като сега насърчава администраторите да накарат хората да се фокусират върху продължителни, но прости, пароли.

Например, парола като "Моята парола е доста лесно запомняща се" ще бъде по принцип по-сигурен от "[имейл защитени] @ m3!" Или дори "* ^ ^ sg5! J8H8 * @ #! ^"

Разбира се, използването на такива фрази прави нещата лесни за запомняне, все още не се заобикаля проблема с привидно седмичното настъпване на някаква основна услуга, чиято база данни са хакнати, като споменатите системи понякога използват слабо криптиране или изобщо никакви съхранение на лични данни и пароли, като например скорошната хак на Equifax, в която 145,5 милиона души в САЩ са изложени на лични данни, включително пълни имена, номера на социално осигуряване, дати на раждане и адреси. (Над езерцето Equifax отбеляза също, че около 15 милиона граждани на Обединеното кралство също са ги откраднали в нарушение.)

В отсенките на първата по-рано споменавана парола, която изискваше Scherr просто да изиска отпечатването на файла с паролата, се оказва, че има достъп до огромното количество лични данни, които Equifax съхранява на хора, каза анонимен специалист по компютърна сигурност Дънни платки, "Всичко, което трябваше да направите, беше да въведете термин за търсене и да получите милиони резултати, веднага - в ясен текст - чрез уеб приложение."

Да …

Поради такива неща Националният център за кибернетична безопасност също сега препоръчва администраторите да насърчават хората да използват софтуер за управление на пароли, за да се увеличи вероятността хората да използват различни пароли за различни системи.

В крайна сметка никоя система няма да бъде напълно сигурна, без значение колко добре проектирана и ни довежда до трите златни правила за компютърна сигурност, написани от гореспоменатия изтъкнат криптограф Робърт Морис: "не притежавайте компютър; не го захранвайте; и не го използвайте."

Бонус Факт:

В ерата на живота на всеки, който се съхранява онлайн на сървъри на различни компании - обикновено всички, защитени с пароли, Лондонският университет отбелязва в едно скорошно проучване, че около 10% от хората сега излагат списък на общите си пароли в своите желания, за да направят че хората могат да имат достъп до данните и сметките си след смъртта си. Интересното е, че проблемът на хората, които не правят това всъщност, е отбелязан като причиняващ сериозен проблем след атентатите от 11 септември. Например, Хауърд Лутник, един от изпълнителите в Кантор Фицджералд, отбеляза своята доста незавидна задача да трябва да проследи паролите на близо 700 служители, загинали при нападението. Поради критичната причина компанията да има достъп до файловете си още преди да се отворят пазарите за вечерни облигации, той и неговият персонал трябваше да се обадят на близките на мъртвите, за да поискат паролите или какви пароли може да са на същия ден … За щастие за фирмата, повечето от паролите на служителите се основават на гореспоменатите недостатъчни препоръки на Bill Burr - "J3r3my!". Това, в съчетание с конкретната лична информация от близките, събрани от Lutnick, позволи на екип, изпратен от Microsoft, да спрат сравнително лесно неизвестните пароли чрез груба сила в кратък ред.