Kto vynašiel počítačové heslá?

2024 Autor: Sherilyn Boyd | [email protected]. Naposledy zmenené: 2024-01-16 10:18

Niečo podobné heslám sa zdalo byť použité aspoň tak dlho, ako ľudia zaznamenávajú históriu. Napríklad jeden z prvých odkazov na niečo ako heslo je uvedený v Knihe sudcov, ktorá bola popísaná po prvýkrát okolo 6. alebo 7. storočia pred naším letopočtom. Konkrétne uvádza v rozsudkoch 12:

Gileádovci vzali Jordánove pasáže pred Efraimanmi, a tak to bolo, keď tí, ktorí utiekli Efraimovci, povedali: Prejdem, že mu povedali muži z Gileáda: Ty si Efraimský? Ak povedal: Nie;

A riekli mu: Povedz teraz Šibulele, a povedal Sibbolethovi, lebo nemohol urobiť, aby to vyslovil správne. Potom ho vzali a zabili ho Jordánskymi priechodmi …

Rýchlo presmerovanie trochu v histórii a rímske legionári sú známe tým, že používajú jednoduchý systém prístupových fráz, aby zistili, či je cudzinec priateľom alebo nepriateľom. Druhý storočia pred nl, grécky historik Polybius dokonca podrobne opisuje, ako fungoval systém hesiel, pokiaľ ide o to, aby všetci vedeli, aké je súčasné heslo:

… z desiatej manipulácie každej triedy pechoty a jazdectva, manipul, ktorý je umiestnený na dolnom konci ulice, je vyberaný človek, ktorý je zbavený strážnej služby a navštevuje každý deň pri západe slnka pri stane tribuny, a od neho prijímať slovo - to je drevená tabuľa so slovom na ňom napísanom - má dovolenku a po návrate do svojej izby prechádza na slovo a tablet pred svedkami veliteľa ďalšej manipulácie, ktorá zase prechádza to k jednému vedľa neho. Všetci robia to isté, až kým nedosiahne prvé manipuly, tábojú v blízkosti stanov tribunov. Títo sú povinní doručiť tabletu do tribun pred tmou. Takže ak sa vrátia všetky vydaní, tribún vie, že sa všetkým manipulám dostalo heslo a prešlo všetkými cestami späť k nemu. Ak niekto z nich chýba, okamžite pohovorí, pretože vie o značkách, z akého štvrťroka sa tableta nevráti a ktokoľvek, kto je zodpovedný za zastavenie, sa stretne s trestom, ktorý si zaslúži.

Rímsky historik Suetonius dokonca spomína Caesara pomocou jednoduchej šifry, ktorá vyžadovala, aby príjemca poznal kľúč, v tomto prípade správny počet premiestnení abecedy, aby rozlúštil správu.

Pokiaľ ide o modernejšie časy, prvý známy prípad hesla systému na elektronickom počítači bol realizovaný teraz dôchodcom profesor informatiky na Massachusetts Institute of Technology, Fernando Corbato. V roku 1961 mal MIT obrovský počítač s časovým zdieľaním nazývaný Kompatibilný systém zdieľania času (CTSS). V rozhovore pre rok 2012 by Corbato uviedol: "Kľúčovým problémom [s CTSS] bolo, že sme vytvorili viac terminálov, ktoré by mali používať viaceré osoby, ale s každou osobou, ktorá má vlastný súbor súborov. Zadanie hesla pre každého jednotlivého užívateľa ako zámok sa zdalo byť veľmi jednoduchým riešením."

Niečo, čo by sme mali spomenúť pred pokračovaním, je to, že Corbota váhá vziať úver za to, že prvý zaviedol systém počítačového hesla. Navrhuje, aby zariadenie postavené v roku 1960 spoločnosťou IBM nazývané Semi-Automatic Business Research Environment (Saber), ktoré bolo (a stále je v modernizovanej podobe) použité na vytváranie a udržiavanie rezervácií cestovania, pravdepodobne používalo heslá. Avšak, keď bola IBM kontaktovaná o tomto, neboli si istí, či systém pôvodne mal takúto bezpečnosť. A keďže sa zdá, že nikto nemá prežilý záznam o tom, či to spravil, Corbato je zdanlivo všeobecne priznaný za to, že bol prvým, kto dal takýto systém na elektronický počítač.

Samozrejme, problémom s týmito skoršími heslami je, že všetky boli uložené v obyčajnom texte, a to aj napriek otvorenému bezpečnostnému otvoru, ktorý to prináša.

V tejto poznámke sa v roku 1962 podarilo univerzitnému študentovi Allanovi Scherroovi získať CTSS na vytlačenie všetkých hesiel počítača. Scherr poznamenáva,

Existoval spôsob, ako môžete požadovať, aby boli súbory tlačené v režime offline, a to tak, že odošlete vyrazenú kartu s číslom účtu a názvom súboru. Neskoro v piatok večer som podal žiadosť o vytlačenie súborov s heslom a veľmi skoro ráno v sobotu ráno išiel do schránky, kde boli umiestnené výtlačky … Potom by som mohol pokračovať v mojom krádeži strojového času.

Táto "krádež" jednoducho získala viac ako štyri hodiny prideleného denného počítačového času, ktorý dostal.

Scherr potom zdieľal zoznam hesiel, aby zamlčal jeho účasť na záchvate dát. Systémoví administrátori vtedy jednoducho mysleli, že niekde musel byť nejaký problém v systéme hesiel a Scherr nikdy nebol chytený. Vieme len to, že je zodpovedný, pretože sa mu o pol storočia neskôr priznal, že to bol ten, kto to urobil. Toto malé porušenie údajov z neho urobilo prvú známu osobu, ktorá ukradla počítačové heslá, čo je dnes priekopník počítača naozaj hrdý.

Podivuhodne, podľa Scherra, zatiaľ čo niektorí ľudia používali heslá na to, aby mali viac času na prácu so simuláciami a podobne, iní sa rozhodli použiť na prihlásenie do účtov ľudí, ktorým sa nechceli len nechať urážlivé správy.Ktorý len ukazuje, že zatiaľ čo počítače sa v poslednom polstoročí menili veľa, ľudia určite nie.

V každom prípade, asi o 5 rokov neskôr, v roku 1966 CTSS opäť zažil obrovské porušenie údajov, keď náhodný správca omylom zmiešal súbory, ktoré zobrazovali uvítaciu správu každému používateľovi a hlavnému súboru s heslom … Táto chyba videlo každé heslo uložené na pričom zariadenie sa zobrazí ľubovoľnému používateľovi, ktorý sa pokúsil o prihlásenie do služby CTSS. V článku, ktorý pripomína päťdesiate výročie inžiniera CTSS, Tom Van Vleck láskavo pripomenul "Incident s heslom" a s radosťou poznamenal: "Prirodzene sa to stalo v piatok v piatok a musel som stráviť niekoľko neplánovaných hodín meniť heslá ľudí."

Ako spôsob, ako dostať celý problém s prostým textovým heslom, vytvoril Robert Morris jednosmerný šifrovací systém pre systém UNIX, ktorý sa aspoň v teórii, aj keď by mohol niekto dostať do databázy hesiel, nedokázal povedať, čo bolo jedno z hesiel. Samozrejme, vďaka pokroku v oblasti výpočtovej sily a šikovným algoritmom sa museli vyvinúť ešte šikovné schémy šifrovania … a bitka medzi odborníkmi na bezpečnosť bielych a čiernych klobúkov sa odvtedy odvtedy prechádzala.

Toto všetko viedlo k tomu, že Bill Gates vo februári 2004 vyhlásil, že "heslá" len nespĺňajú výzvu na čokoľvek, čo skutočne chcete zabezpečiť."

Samozrejme, najväčším bezpečnostným otvorom vo všeobecnosti nie sú algoritmy a softvér, ale samotní používatelia. Ako slávny tvorca XKCD, Randall Munroe, kedysi to tak bolestne povedal: "Cez 20 rokov úsilia sme úspešne vycvičili každého, aby používal heslá, ktoré sú pre ľudí ťažké pamätať, ale ľahko sa počítajú s počítačmi."

Na tejto poznámke školenia ľudí, aby urobili zlé heslá, vinu za to možno vysledovať späť na široko šírené odporúčania Národného inštitútu pre štandardy a technológie, publikoval v obracačke stránky, ktorá bola ôsmim stránok NIST špeciálnej publikácie 800-63. Príloha A, ktorú napísal Bill Burr v roku 2003.

Burr okrem iného odporúčal používanie slov s náhodnými znakmi, ktoré vyžadujú veľké písmená a čísla a administrátori systému pravidelne menia svoje heslá pre maximálnu bezpečnosť …

Z týchto zdanlivo všeobecne prijatých odporúčaní uviedol Burr, ktorý teraz odišiel, v rozhovore pre Wall Street Journal, "Veľa z toho, čo som urobil, teraz ľutujem …"

Aby sme boli s Burrom spravodliví, štúdie týkajúce sa aspektu ľudskej psychológie hesiel neboli v čase, keď tieto odporúčania napísali, vôbec neexistovali a teoreticky by určite mali byť aspoň jeho návrhy minimálne bezpečnejšie z výpočtového hľadiska, než použitím bežných slov,

Problém s týmito odporúčaniami poukazuje Britské národné centrum pre kybernetickú bezpečnosť (NCSC), ktoré uvádza, že "toto rozšírenie používania hesla a čoraz zložitejšie požiadavky na heslo kladie na väčšinu používateľov nerealistický dopyt. Používatelia budú nevyhnutne vymýšľať svoje vlastné mechanizmy na zvládnutie "preťaženia heslom". To zahŕňa zápis hesiel, opätovné použitie rovnakého hesla v rôznych systémoch alebo použitie jednoduchých a predvídateľných stratégií vytvárania hesiel."

V tomto bode spoločnosť Google vykonala v roku 2013 rýchlu štúdiu o osobných heslách a poznamenala, že väčšina ľudí používa v schéme hesiel jednu z nasledujúcich možností: meno alebo narodeniny petu, člena rodiny alebo partnera; výročie alebo iný významný dátum; miesto narodenia; obľúbená dovolenka; niečo spoločné s obľúbeným športovým tímom; a, nevysvetliteľné, slovo heslo …

Takže, spodná línia, väčšina ľudí si vyberá heslá, ktoré sú založené na informáciách, ktoré sú ľahko dostupné pre hackerov, ktorí potom môžu naopak relatívne ľahko vytvoriť algoritmus brutenej sily na rozobranie hesla.

Našťastie, aj keď by ste to nevedeli od všadeprítomnosti systémov, ktoré ešte stále vyžadujú, aby ste urobili svoj najlepší dojem z Will Hunting na nastavenie hesla, väčšina bezpečnostných poradenských subjektov drasticky zmenila svoje odporúčania v posledných niekoľkých rokoch.

Napríklad, vyššie spomínaný NCSC teraz odporúča, okrem iného, aby správcovia systému prestali robiť zmeny ľudí heslami, pokiaľ v systéme nie je známe porušenie hesla ako: "To spôsobuje užívateľovi záťaž (ktorý pravdepodobne vyberie nové heslá, ktoré sú iba menšie varianty starých) a neprináša žiadne skutočné výhody … "Ďalej konštatuje, že štúdie ukázali, že" Pravidelné zmeny hesla poškodzujú skôr než zvyšujú bezpečnosť …"

Alebo ako fyzici a poznamenal počítačový vedec Dr. Alan Woodward z University of Surrey poznamenáva, "Čím častejšie sa opýtate niekoho na zmenu hesla, tým slabšie heslá, ktoré si obvykle vyberú."

Podobne aj úplne náhodná sada znakov pri typických dĺžkach požiadaviek na heslo je relatívne náchylná na útoky hrubou silou bez ďalších bezpečnostných opatrení. Národný inštitút noriem a technológií takisto aktualizoval svoje odporúčania a teraz povzbudzuje administrátorov, aby sa ľudia sústredili na zdĺhavé, ale jednoduché heslá.

Napríklad heslo ako "Moje heslo je veľmi ľahko zapamätateľné" bude vo všeobecnosti poriadne väčšie ako "[email protected] @ m3!" Alebo dokonca "* ^ ^ sg5! J8H8 * @ #! ^"

Samozrejme, pri používaní takýchto fráz sa dá ľahko zapamätať, stále sa nedostáva okolo problému zdanlivo týždenného výskytu nejakej dôležitej služby, ktorej databáza je napadnutá, pričom tieto systémy niekedy využívajú slabé šifrovanie alebo dokonca žiadnu vôbec uchovávanie súkromných údajov a hesiel, ako napríklad nedávny útočník spoločnosti Equifax, ktorý v USA zaznamenal svoje osobné údaje 145,5 milióna ľudí vrátane úplných mien, čísiel sociálneho poistenia, dátumov narodenia a adries. (Rovnako na rybníku, Equifax tiež uviedol, že približne 15 miliónov občanov Spojeného kráľovstva ich krádeže porušilo.

V odtieňoch prvého hesla, ktoré sa už predtým spomínalo a vyžadovalo, aby Scherr len požiadal o vytlačenie súboru s heslom, sa ukázalo, že má prístup k obrovskému množstvu osobných údajov, ktoré Equifax ukladá ľuďom, povedal anonymný expert v oblasti počítačovej bezpečnosti Základná doska, "Všetko, čo musíte urobiť, bolo vložiť hľadaný výraz a získať milióny výsledkov, len okamžite - v prehľadnom texte prostredníctvom webovej aplikácie."

Jo …

Kvôli takýmto vecam Národné centrum pre kybernetickú bezpečnosť teraz tiež odporúča administrátorom povzbudzovať ľudí, aby používali softvér na správu hesiel, aby pomohli zvýšiť pravdepodobnosť, že ľudia budú používať rôzne heslá pre rôzne systémy.

Nakoniec žiadny systém nebude úplne bezpečný, bez ohľadu na to, ako dobre je navrhnutý a prináša nás do troch zlatých pravidiel počítačovej bezpečnosti, napísaných vyššie uvedeným známym kryptografom Robertom Morrisom: "nevlastním počítač; nezapájajte ho; a nepoužívajte ho."

Bonus Fakt: