Tko je izumio računalne lozinke?

Tko je izumio računalne lozinke?

Načinilo se da je nešto slično lozinkama barem dokle god ljudi snimaju povijest. Na primjer, jedna od najranijih spomena na nešto poput lozinke spominje se u Knjizi sudaca, koja je prvi put zapisana negdje oko 6. ili 7. stoljeća prije Krista. Naime, navodi se u sucima 12:

Gileađani su zaobilazili korito Jordana pred Efrajimovim. Kad su Efrajimci koji su bili bježali rekli: "Pusti me da prijeđem; Gileadski mu ljudi odgovoriše: "Jesi li Efrajim?" Ako je rekao, Ne;

Tada mu rekoše: "Sada reci Šibolet!" I reče Šibolet, jer nije mogao podnijeti da je izgovori. Tada ga uhvatiše i ubili ga na Jordanovim prolazima ...

Brzo se prosljeđuju u povijesti i poznati su rimski legionari koji su koristili jednostavan sustav zaporki kako bi se utvrdilo je li stranac prijatelj ili neprijatelj. Drugo stoljeće prije Krista grčki povjesničar, Polybius, detaljno opisuje način rada lozinke u smislu osiguranja da svi znaju što je trenutna lozinka:

... od desete manipulacije svake klase pješaštva i konjice, manipula koja se utaborila na donjem kraju ulice, izabran je muškarac koji je oslobođen od službe straže, a on svakodnevno odlazi na zalazak sunca na šatoru tribine , i od njega je primio lozinku - to je drvena pločica s natpisom na njemu - odlazi na dopust, a nakon povratka u svoje četvrti prolazi znak i tablicu pred svjedocima zapovjednika sljedeće manipulacije, koji zauzvrat prolazi to onomu koji ga slijedi. Svi to rade dok ne stignu do prvih manipula, koji su se utaborili u blizini šatora tribina. Ovi potonji dužni su predati tabelu tribinama prije mraka. Tako da, ako se svi izdani, vratim, tribina zna da je riječ o svim rukama i prošla kroz sve na putu natrag k njemu. Ako netko od njih nedostaje, on istodobno istraži, jer zna po oznakama iz kojeg kvartala tableta nije vraćena, a tko god je odgovoran za prekid, susreće se s kaznom koju zaslužuje.

Rimski povjesničar Suetonius čak spominje Cezara pomoću jednostavnog šifra koji je zahtijevao primatelju da zna ključ, u ovom slučaju točan broj puta za pomicanje abecede, kako bi dešifrirala poruku.

Što se tiče više modernih vremena, prvi poznati primjer lozinke sustava na elektroničkom računalu implementirao je sada umirovljeni profesor informatike na Massachusetts Institute of Technology, Fernando Corbato. Godine 1961. MIT je imao ogromno računalo za dijeljenje vremena pod nazivom Compatible Time Sharing System (CTSS). Corbato će navesti u intervjuu za 2012. godinu: "Ključni problem [s CTSS-om] bio je da smo postavili više terminala, koje će koristiti više osoba, ali s svakom osobom koja ima vlastiti privatni skup datoteka. Stavljanje lozinke za svakog pojedinog korisnika kao bravu činilo se kao vrlo jednostavan rješenje. "

Nešto treba napomenuti prije nastavka je da Corbota neodlučno uzima kredit za prvo što provodi sustav lozinke računala. Predlaže da je uređaj koji je 1960. godine pod nazivom "Poluautomatski istraživački centar za okoliš" (Saber), koji je (i još uvijek u nadograđenom obliku) korišten za izradu i održavanje putovanja, vjerojatno koristio lozinke. Međutim, kada su kontaktirali IBM o tome, nisu bili sigurni je li sustav izvorno imao takvu sigurnost. I čini se da nitko nije imao preživjelih zapisa o tome je li to učinio, Corbato je, naizgled, univerzalno zaslužan za prvo stavljanje takvog sustava na elektroničko računalo.

Naravno, problem s tim ranijim proto-lozinkama jest taj da su svi oni pohranjeni u običnom tekstu, unatoč otvorenoj sigurnosnoj rupi koja to uvodi.

Na toj je naputku, 1962. godine, student PHD-a Allan Scherr uspio je CTSS-u ispisati sve zaporke računala. Scherr primjećuje,

Postoji način traženja datoteka za ispis offline, slanjem probijene kartice s brojem računa i nazivom datoteke. Kasno u petak navečer, podnio sam zahtjev za ispis lozinke, a vrlo rano ujutro u subotu ujutro otišao u kabinet za arhive gdje su ispisani ispisi ... Mogao bih nastaviti krađu strojnog vremena.

Ovo "krađe" jednostavno je dobilo više od četiri sata dodijeljenog dnevnog računalnog vremena koje je dobio.

Scherr je zatim podijelio popis lozinke kako bi pomutio njegovu uključenost u podatkovnu podlogu. Administratori sustava u to vrijeme jednostavno su mislili da je negdje u sustavu lozinke vjerojatno postojao bug, a Scherr nikada nije uhvaćen. Znamo samo da je odgovoran jer je polako kasnije priznao da je on to učinio. Ovo malo kršenje podataka učinilo ga je prvom poznatom osobom koja je ukrala lozinke računala, što pionir računalima izgleda prilično ponosan na danas.

Nevjerojatno, prema Scherlu, dok su neki ljudi koristili lozinke kako bi dobili više vremena na stroju za pokretanje simulacija i slično, drugi su ih odlučili koristiti za prijavu na račune ljudi koje im se ne sviđaju samo da napuste uvredljive poruke.Što samo pokazuje da dok se računala možda puno promijenila u posljednjih pola stoljeća, ljudi sigurno nisu.

U svakom slučaju, oko pet godina kasnije, 1966. godine, CTSS ponovno doživljava masivnu povredu podataka kada je slučajni administrator slučajno miješao datoteke koje su prikazivale poruku dobrodošlice svakom korisniku i datoteku glavne lozinke ... Ova pogreška je vidjela svaku zaporku pohranjenu na stroj se prikazuje svakom korisniku koji se pokušao prijaviti u CTSS. U povodu obilježavanja pedesete obljetnice CTSS inženjera Tom Van Vlecka sjećali su se "Incidenta lozinke" i zbilja su zabilježili: "Naravno, to se dogodilo u petak u petak, a morala sam provesti nekoliko neplaniranih sati mijenjanja lozinki ljudi".

Robert Morris je stvorio jednosmjernu enkripcijsku mrežu za UNIX, koji je barem tako teoretski učinio, čak i ako netko može pristupiti bazi podataka lozinke, ne bi mogli reći što bilo je od lozinki. Naravno, s napretkom u računalnoj snazi ​​i pametnim algoritmima morali su se razviti još pametnije enkripcijske sheme ... i bitka između stručnjaka za sigurnost bijelih i crnih šešira odavno se bavila davno i naprijed.

To je sve dovelo do toga da je Bill Gates 2004. godine poznat kao "[Passwords] jednostavno ne zadovoljavaju izazove za sve što stvarno želite osigurati".

Naravno, najveća sigurnosna rupa obično nije algoritmi i softver koji se koristi, već i sami korisnici. Kao glasoviti kreator XKCD-a, Randall Munroe, jednom je tako dirljivo rekao: "Kroz 20-godišnje napore, uspješno smo obučili sve da koriste zaporke koje su ljudi teško zapamtiti, no lako je za računala pogoditi".

Na ovoj bilješci o osposobljavanju ljudi da izvrsne lozinke, krivnja za to može se pratiti na široko rasprostranjene preporuke Nacionalnog instituta za standarde i tehnologiju, objavljenom na turneru koji je bio osam stranica NIST Special Publication 800-63. Dodatak A, koji je napisao Bill Burr 2003. godine.

Burr je, između ostalog, preporučio upotrebu riječi sa slučajnim znakovima koji su zamijenjeni, uključujući i zahtijevanje velikih slova i brojeva, a administratori sustava redovito mijenjaju svoje lozinke za maksimalnu sigurnost ...

Od tih naizgled univerzalnih preporuka, sada je u mirovini Burr izjavio u intervjuu Wall Street Journal, "Mnogo toga što sam učinio sada se žalim ..."

Da bi bilo pošteno prema Burru, studije koje se tiču ​​aspekta ljudske psihologije lozinki u velikoj mjeri nisu postojale u vrijeme kada je napisao ove preporuke, a u teoriji svakako njegovi prijedlozi barem bi trebali biti vrlo sigurni iz računalne perspektive, ,

Problem s tim preporukama naglašava British National Cyber ​​Security Center (NCSC) koji tvrdi da "ova proliferacija upotrebe lozinke i sve složenije lozinke zahtijevaju nerealnu potražnju za većinu korisnika. Neizbježno, korisnici će osmisliti vlastite mehanizme za rješavanje problema s preopterećenjem lozinke. To uključuje zapisivanje lozinki, ponovnu upotrebu iste lozinke na različitim sustavima ili korištenje jednostavnih i predvidljivih strategija stvaranja zaporke. "

Do ove točke, 2013. Google je izvršio kratku studiju o lozinki ljudi i napomenuo da većina korisnika koristi jednu od sljedećih u shemi lozinke: ime ili rođendan jednog ljubimca, člana obitelji ili partnera; godišnjicu ili drugi značajan datum; mjesto rođenja; omiljeni odmor; nešto vezano uz omiljeni sportski tim; i, neobjašnjivo, riječ lozinka ...

Dakle, dno crta, većina ljudi odabire lozinke koje se temelje na informacijama koje su lako dostupne hakerima, a koje tada mogu zauzvrat relativno lako stvoriti algoritam brute force za ispucavanje lozinke.

Srećom, iako možda niste znali od sveprisutnosti sustava koji vas još uvijek traže da učinite svoj najbolji dojam o lovu da postavite lozinku, većina sigurnosnih savjetodavnih tijela drastično je promijenila svoje preporuke u posljednjih nekoliko godina.

Na primjer, navedeni NCSC sada preporučuje, između ostaloga, da administratori sustava prestanu mijenjati lozinke, osim ako ne postoji poznato kršenje lozinke u sustavu kao: "Ovo nameće teret korisniku (koji je vjerojatno da će odabrati nove lozinke koje su samo manje varijacije starih) i ne nosi stvarne koristi ... "Nadalje napomenuvši da su studije pokazale da" redovita šifra promjena šteti nego poboljšava sigurnost ... "

Ili kao fizičari i istaknuti računalni znanstvenik Dr. Alan Woodward sa Sveučilišta Surrey, "češće vas zamolite da promijeni lozinku, to su slabija lozinke koje obično odabiru."

Slično tome, čak i posve slučajni niz znakova u tipičnim duljinama zahtjeva za lozinkom relativno je osjetljiv na napade bez buke bez dodatnih sigurnosnih mjera. Kao takav, Nacionalni institut za standarde i tehnologiju isto tako ažurirao svoje preporuke, sada ohrabrujući admins da se ljudi usredotočiti na dugotrajne, ali jednostavne, lozinke.

Na primjer, lozinka poput "Moja zaporka je prilično lako zapamtiti". Općenito će biti zapovijedi veličine sigurnije od "[zaštićene e-poštom] @ m3! 1" ili čak "* ^ sg5! J8H8 * @ #! ^ ”

Naravno, pri korištenju takvih fraza lako se pamti, još uvijek ne razmišlja o problemu naizgled tjednog pojavljivanja neke velike službe koja ima hakersku bazu podataka, pri čemu takvi sustavi ponekad koriste slabu enkripciju ili čak ni uopće ne pohranjivanje privatnih podataka i lozinki, poput nedavnog Equifax hacka koji je vidio 145,5 milijuna ljudi u SAD-u, izložili su svoje osobne podatke, uključujući punu imena, brojeve socijalnog osiguranja, datume rođenja i adrese. (Preko ribnjaka, Equifax je također primijetio da je njihova evidencija također ukradena i oko 15 milijuna građana u Velikoj Britaniji.)

U nijansama prvog prethodno spomenutog lozinke, koji je zahtijevao Scherr da samo traži da se zapisi lozinke ispisuju, otkriva se da će dobiti pristup velikom broju osobnih podataka Equifaxove trgovine na ljude, rekao je anonimni stručnjak za računalnu sigurnost matična ploča, "Sve što trebate učiniti je staviti u pojam za pretraživanje i dobiti milijune rezultata, odmah - jasno, putem web aplikacije."

Da…

Zbog takve vrste, Nacionalni centar za cyber sigurnost također preporučuje administratorima da potiču ljude da upotrebljavaju softver za upravljanje zaporkom kako bi povećali vjerojatnost da korisnici koriste različite lozinke za različite sustave.

Na kraju, nijedan sustav nikad neće biti potpuno siguran, bez obzira koliko je dobro dizajniran, dovodeći nas do tri zlatna pravila računalne sigurnosti koju je napisao prije spomenuti glasoviti kriptograf Robert Morris: "Nemamo računalstvo; ne uključujte ga; i nemojte ga koristiti. "

Bonus činjenica:

  • U životnoj dobi svih ljudi koji su pohranjeni na mreži na poslužiteljima različitih tvrtki - uglavnom zaštićenim lozinkama, Sveučilište u Londonu u nedavnoj je studiji zabilježilo da oko 10% ljudi sada stavlja popis svojih zajedničkih zaporki u njihovu želju kako bi sigurni da korisnici mogu pristupiti svojim podacima i računima nakon što umru. Zanimljivo je da je problem ljudi koji to ne čine zapravo zabilježeno kao da je izazvao veliki problem nakon napada 11. rujna. Na primjer, Howard Lutnick, jednokratna izvršnica tvrtke Cantor Fitzgerald, primijetio je svoju prilično nezavidnu zadaću da pronađe lozinke od gotovo 700 zaposlenika koji su umrli u napadu. Zbog koliko je kritično da tvrtka ima pristup svojim datotekama odmah prije nego što se večernja tržišta obveznica otvore, on i njegovo osoblje morali su pozivati ​​mrtve osobe da bi tražili lozinke ili što bi lozinke mogle biti tog istog dana ... Srećom za tvrtku, većina lozinki zaposlenika temelji se na gore spomenutim manjkavim preporukama Bill Burr-a, "J3r3my!". To, u kombinaciji s određenim osobnim informacijama koje su voljne osobe prikupile, dozvolilo je timu koji je poslao Microsoft da relativno lako razbije nepoznate lozinke u kratkom poretku.

Ostavite Komentar