Kes leiutas arvuti paroole?

Kes leiutas arvuti paroole?

Näib, et paroolidele sarnast midagi on kasutatud vähemalt nii kaua, kui inimesed on salvestanud ajalugu. Näiteks on üks varasemaid viiteid paroolile midagi mainitud kohtunike raamatus, mis oli esmakordselt alla kirjutatud kunagi 6. või 7. sajandil eKr. Täpsemalt öeldes märgib ta kohtunikes 12:

Ja Gileadased võttisid Jordani lõigud Efraaimlaste käes. Ja nõnda, kui need Efraimlased, kes põgenesid, ütlesid: "Lase mind üle minna!" et Gileadi mehed ütlesid temale: "Kas sa oled Efraaim?" Kui ta ütles, ei;

Siis ütlesid nad temale: "Ütle nüüd, Shibboleth! Ja ta ütles Sibbolethile, sest ta ei suutnud seda õigesti hääldada. Siis võtsid nad teda ja tappes Jordani kirdeosas ...

Pisut edasi-tagasi minevikku ja rooma legionaare on teadaolevalt kasutanud lihtsat liikumisfragmentide süsteemi, et mõista, kas võõrad olid sõber või vaenlane. II sajandist eKr kreeka ajaloolane Polybius kirjeldab üksikasjalikult, kuidas paroolisüsteem töötas, et kõik teaksid, milline on praegune parool:

... igast jalgpalli ja ratsavõistluse klassi kümnendast manipulatsioonist, tänava alumises otsas asetsev maniple, valitakse mees, kes vabastatakse valvurist, ja ta käib iga päev tribüüni telgis päikeseloojangul ja võttis temalt vastu seitsme sõna - see on puust tahvel, millele on kirjutatud see sõna - võtab oma puhkuse ja naaseb oma eluruumidesse, lähevad seina ja tahvelarvuti ees tunnistajateks järgmise käsipalli ülemale, kes omakorda läheb see tema kõrval. Kõik teevad sama, kuni see jõuab esimese manipleseni, kes paiknevad tribüünide telkide lähedal. Need viimased on kohustatud tableti enne pimedust kandma tribereeridele. Nii et kui kõik väljastatud isikud tagastatakse, tunneb tribüün, et seitsme sõna on antud kõigile inimestele ja on läbinud kõik tema juurde tagasi. Kui keegi neist puudu läheb, küsib ta kohe, kui ta teab, millistel veeranditel tablett ei ole tagastatud, ja kes vastutab seiskumise eest, vastab tema väär tatud karistusega.

Rooma ajaloolane Suetonius mainib ka Caesarit lihtsa šifriga, mis nõuab adressaadilt võtme tundmaõppimist, sel juhul korrektset arvu tähestiku muutmiseks, et sõnumit dešifreerida.

Nagu tänapäevaste aegade puhul, tegi elektroonilises arvutis paroolisüsteemi esimene teadaolev eksemplar praeguseks pensionile jäänud Massachusettsi tehnoloogiainstituudi Fernando Corbato arvutiteaduse professoriks. Aastal 1961 oli MITil hiiglaslik ajajagamise arvuti, mida nimetatakse ühilduva ajas jagamise süsteemiks (CTSS). Corbato ütleb 2012. aasta intervjuus: "Põhiprobleemiks (koos CTSS-iga) oli see, et me seadsime mitu terminali, mida kasutaksid mitmed isikud, kuid igal isikul on oma isiklikud failid. Paroolide sisestamine iga üksiku kasutaja jaoks lukuna näis olevat väga otsene lahendus. "

Enne jätkamist peaksime mainima, et Corbota kardab lugeda, et on esimene, kes rakendab arvuti parooli. Ta soovitab, et 1960. aastal IBMi poolt ehitatud seade nimetaks Semaretalli automaatsete äriuuringute keskkonda (Saber), mis oli reisipakkumiste tegemiseks ja säilitamiseks (ja tõenäoliselt ka paroolide kasutamiseks) (ja see on veel täiustatud kujul). Kuid kui IBMiga selle kohta pöördus, ei olnud nad kindel, kas süsteemil oli selline turvalisus algselt olemas. Ja kuna keegi ei näi olevat mingit survet, kas ta seda tegi, näib Corbato universaalselt antud krediiti, et ta on esimene, kes sellist süsteemi elektroonilises arvutisse paneb.

Loomulikult on nende varajaste proto-paroolidega seotud probleem see, et kõik need salvestatakse tavalises tekstis hoolimata sellest avanevast avanenud turvaaukast.

Selles märkuses õnnestus 1962. aastal PHD üliõpilasel Allan Scherril saada CTSS-i, et printida välja kõik arvuti paroolid. Scherr märgib,

Võimalik oli taotleda faile trükkida võrguühenduseta, esitades perfokaardi koos kontonumbri ja failinimega. Hilinenud reede õhtul esitasin taotluse paroolifailide printimiseks ja väga varakult laupäeva hommikul läksin failikabiinile, kus väljatrükid paigutati ... Seejärel võiksin jätkata oma masseeritud ajapikkust.

See "larceny" oli lihtsalt saada rohkem kui neli tundi eraldatud igapäevane arvutiaeg ta oli antud.

Scherr jagas seejärel parooliloendi, et tõrjuda oma osalust andmepiirkonnas. Süsteemihaldurid sel ajal arvasid, et kuskil peaks olema parooli süsteemis viga ja Scherrit pole kunagi kinni püütud. Me teame ainult, et ta oli vastutav, sest ta lubas peaaegu pool sajandit hiljem, et see oli see, kes seda tegi. See väike andmete rikkumine tegi temast esimese teadaoleva isiku, kes varastas arvuti paroole, mida arvuti pioneer näib tänapäeval üsna uhke.

Vastavalt Scherri sõnadele on lõbusalt öelda, et mõned inimesed kasutasid paroole, et masinal töötada simulatsioonide käivitamiseks ja muud sarnased, otsustasid teised kasutada nende inimeste kontode sisselogimiseks, kellele nad ei meeldinud, et jätta solvavad sõnumid.Mis lihtsalt näitab, et kuigi arvutid on viimase poole sajandi jooksul muutnud palju, ei ole kindlasti seda.

Igal juhul umbes 5 aastat hiljem, 1966. aastal, kogub CTSS veel kord tohutut andmehäiret, kui juhuslik haldur kogemata segastab faile, mis kuvasid iga kasutaja jaoks tervitusteksti ja paroolifaili ... See viga nägi iga parooli salvestatud masin kuvatakse kõigile kasutajatele, kes üritasid logida CTSSi. CTSSi inseneri viiekümnendal aastapäeval Tom Van Vleck meenutas fantastiliselt "Password Incident" ja naljakas märkis seda: "Loomulikult juhtus see reedeti kell 5.00 ja pean kulutama mitmeid ebasoovitavaid tunde, muutes inimeste paroole."

Et kogu tavalise teksti parooli probleemi lahendada, lõi Robert Morris UNIX-i ühe suuna krüpteerimissüsteemi, mis tegi seda nii teoreetiliselt isegi siis, kui keegi pääseda parooliga andmebaasi, ei suuda nad öelda, mida ükski parool oli. Loomulikult on jõudluse ja tarkade algoritmide arendamisega tehtud edusamme vaja välja töötada veel targad krüpteerimisskeemid ... ja lahing valgete ja musta mütside turvameeste vahel on sellest ajast alates olnud suhteliselt tagasihoidlik.

See kõik viis Bill Gatesi suurepäraselt 2004. aastal välja: "[Paroolid] lihtsalt ei rahulda väljakutseid midagi, mida sa tõesti tahad."

Loomulikult ei ole suurim turvaauk tavaliselt algoritme ja tarkvara, vaid kasutajaid ise. XKCD kuulsa looja Randall Munroe sõnul üritas ta nii üllatlikult öelda, et "20 aasta pärast oleme edukalt koolitanud kõiki, kes kasutavad paroole, mis inimestele on raske meeles pidada, kuid arvutitel on seda lihtne arvata."

Selles trükises, kus koolitatakse inimesi halbade paroolide tegemiseks, võib seda süüdistada riikliku standardite ja tehnoloogia instituudi laialdaselt levitatud soovituste suhtes, mis on avaldatud lehe turneris, mis oli kaheksas leht NIST Special Publication 800-63. Lisa B, mille Bill Burr kirjutas 2003. aastal.

Muuhulgas soovitas Burr kasutada sõnu juhuslike tähemärkidega, mis on asendatud, sealhulgas suurte tähtede ja numbritega nõutavad sõnad, ja süsteemi administraatorid peavad inimesi oma paroole regulaarselt muutma maksimaalse turvalisuse tagamiseks ...

Nendest näiliselt üldiselt heakskiidetud soovitustest kinnitas praegune pensionil olev Burr intervjuus Burriga Wall Street Journal, "Suur osa sellest, mida ma nüüd kahetsin ..."

Et olla õiglane Burrile, olid paroolide inimpsühholoogia aspektide uurimised nende soovituste kirjutamise ajal üldjuhul olematud ja teoreetiliselt oleksid tema soovitused vähemalt arvutuslikust perspektiivist pisut turvalisemad kui tavaliste sõnade kasutamine .

Probleemid nende soovitustega on märgitud Briti riikliku küberkaitsekeskuse (NCSC) poolt, kes märgib, et "selle salasõna kasutamise ja üha keerulisemate paroolinõuete tõttu on enamikule kasutajatele ebareaalne nõudmine. Paratamatult kasutavad kasutajad oma parandusmehhanisme, et tulla toime salasõna ülekoormusega. See hõlmab paroolide kirjutamist, sama salasõna uuesti kasutamist erinevates süsteemides või lihtsate ja prognoositavate paroolide loomise strateegiate kasutamist. "

Selleks tegi Google 2013. aastal Google'ile kiireks väikese uuringu inimeste paroolide kohta ja märkis, et enamus inimesi kasutab oma paroolikavas ühte järgmistest: lemmikloomade, pereliikmete või partneri nimi või sünnipäev; aastapäev või muu märkimisväärne kuupäev; sünnikoht; lemmik puhkus; midagi pistmist lemmik spordimeeskonnaga; ja seletamatu, sõna parool ...

Seega, enamus inimesi valib paroole, mis baseeruvad häkkerite jaoks hõlpsasti juurdepääsetavale teabele, kes saavad omakorda suhteliselt kergesti luua salasõna purustamiseks ruttujõu algoritmi.

Õnneks, kuigi te ei pruugi seda süsteemide igakõlastusest teada saada, et endiselt nõuate, et teete oma parima mulje, kas Will Hunting määrab parooli, on enamik turvaalaseid üksusi oluliselt muutnud oma soovitusi viimastel aastatel.

Näiteks soovitab eelnimetatud NCSC praegu muu hulgas, et süsteemiadministraatorid ei luba inimestel paroole vahetada, kui süsteemis pole pahauuringut, nagu näiteks: "See seab kasutaja koormuse (kes tõenäoliselt valib ainult uued paroolid väikesed muudatused vanas) ja ei anna mingit tegelikku kasu ... "Lisaks märkides, et uuringud on näidanud, et" Regulaarne parooli muutmine pigem kahjustab pigem turvalisust kui parandab ... "

Või kui füüsikud ja märkis arvutiteadlane dr Alan Woodward of University of Surrey märgib, "mida sagedamalt te küsite keegi oma parooli muuta, seda nõrgem on tavaliselt nende paroolid."

Samamoodi on isegi täiesti juhuslik märgikombinatsioon tüüpiliste paroolinõuete pikkustes suhteliselt vastuvõtlik jõhkraate rünnakute korral ilma täiendavate turvameetmeteta. Sellisena uuendas Riiklik Standardite ja Tehnoloogia Instituut oma soovitusi, innustades nüüd administreerijat keskenduma pikaajalistele, kuid lihtsatele paroolidele.

Näiteks on salasõna, nagu "Minu parool on üsna lihtne meelde jätta". See on üldiselt suurusjärgus turvalisem kui "[email protected] @ m3! 1" või isegi "* ^ sg5! J8H8 * @ #! ^ "

Loomulikult muudab asjad lihtsaks meelde jätta, kuid ei suuda ikkagi probleemi lahendada mõne suurema teenuse hägustumise näol oleva nädala esinemisega, kusjuures nimetatud süsteemid kasutavad mõnikord nõrka krüpteerimist või isegi üldse mitte oma Isikuandmete ja paroolide salvestamine, nagu hiljuti Equifaxi häkkimine, mis nägi 145,5 miljonit inimest USA-s, on nende isikuandmeid avaldanud, sealhulgas täisnimed, sotsiaalkindlustuse numbrid, sünnikuupäevad ja aadressid. (Equifax märgib ka tiigist, et umbes 15 miljonit Ühendkuningriigi kodanikku on rikkunud ka oma dokumendid).

Varasemate varjunimede puhul, mis varem mainisid varem mainitud parooli häkkimist, mis nõudsid, et Scherr palub lihtsalt paroolifaili trükkimist, näib see, et juurdepääs pääseb inimestele suure hulga isikuandmetega Equifaxi kauplustes, ütles anonüümne arvutiturbeekspert Emaplaat, "Sa pead tegema vaid otsinguterminiga ja saama miljoneid tulemusi, vaid koheselt selgesõnaliselt veebiprogrammi kaudu."

Jah ...

Sellise asjana soovitab riiklik Cyber ​​Security Centre nüüd ka administraatoritel julgustada inimesi paroolijuhtimise tarkvara kasutama, et suurendada tõenäosust, et inimesed kasutavad erinevate süsteemide jaoks erinevaid paroole.

Lõpuks ei ole ükski süsteem kunagi täielikult kaitstud, hoolimata sellest, kui hästi see on projekteeritud, tuues meid kolmele kuldsele arvuti turvalisuse reeglitele, mille kirjutas eespool nimetatud kuulus krüptograaf Robert Morris: "ei oma arvutit; ära lülita see sisse; ja ära kasuta seda. "

Boonusfakt:

  • Londonis asuvas ülikoolis märkis hiljutise uuringu käigus, et umbes 10% inimestest on kõigi oma elude vanus salvestatud võrgus erinevate ettevõtete serverites, mida tavaliselt salvestavad paroolid, ning nüüd teevad nende tahtmistes oma tavaliste paroolide nimekirja kindel, et inimesed saavad oma andmed ja kontod pärast nende surma. Huvitav on märkida, et inimesi, kes seda tegelikult ei tee, peetakse probleemiks pärast 11. septembri rünnakuid. Näiteks Cantor Fitzgeraldi ühekordne tegevjuht Howard Lutnick märkis oma üsna vaieldamatut ülesannet, kui ta pidas silma peaaegu 700 töötaja kohta, kes surid rünnaku all. Kuna kriitiline oli see, et ettevõttel oli juurdepääs oma failidele kohe enne õhtuste võlakirjaturgude avamist, pidid ta ja tema töötajad helistama lähedaste lähedasi, et küsida paroole või millised paroolid võivad olla samal päeval ... Õnneks ettevõtte jaoks oli enamus töötajate paroolidel põhinevad Bill Burri eespool mainitud vigased soovitused - "J3r3my!" See, mis koos Lutnicki kogutud erilistel isikuandmetel kogus, võimaldas Microsoftilt meeskonna suhteliselt kergesti puruneda tundmatute paroolide abil jõuga lühikese aja jooksul.

Jäta Oma Kommentaar