Ki talált számítógépes jelszavakat?

2024 Szerző: Sherilyn Boyd | [email protected]. Utoljára módosítva: 2024-01-16 10:19

És a gileáditák elvették a Jordán folyosókat az Efraimák előtt, és így volt, mikor az elmenekült Efraimák mondának: Hadd menjek át; hogy a Gileád férfiái ezt mondták neki: "Te Efraimita vagy?" Ha azt mondta, Nay;

Akkor mondának néki: Mondd most Shibboleth; és monda Sibolethnak, mert nem tudta megfogalmazni, hogy helyesen mondja ki. Aztán elvitték, és megölték őt a Jordán folyosóin …

A történelemben gyors továbbítás, és a római légiósok ismertek, hogy egyszerű jelszavakat alkalmaztak annak megállapítására, hogy egy idegen barát vagy ellenség volt-e. Kr.e. második században a görög történész, Polybius részletesen leírja, hogyan működött a jelszórendszer annak biztosítása érdekében, hogy mindenki tudja, mi a jelenlegi jelszó:

… a gyalogság és a lovasság minden egyes osztályának tizedik manipulációjáról, az utcai alsó végében táborozott manipulumból választanak ki egy embert, aki mentesíti az őrségtől, és napközben napközben jár a tribün sátrában, és megkapja tőle a jelszót - ez egy fából készült táblagép a hozzá írt szóval - elhagyja a szabadságát, és visszatérve a lakóhelyére visszatér a jelszó és a tabletta előtt tanúk előtt a parancsnok a következő maniple, aki viszont eléri az egyik mellette. Mindez ugyanaz, amíg el nem éri az első manipulációkat, a táborok sátorai közelében. Ezek az utóbbiak kötelesek a tablettát a sötétség előtt átadni a tribunoknak. Tehát, ha a kiadott küldöttek mindegyike visszakerül, a tribün tudja, hogy a jelszót minden manipulációnak átadta, és mindent átment az út felé. Ha valamelyik közülük hiányzik, egyszerre vizsgálja meg, ahogyan a jelek szerint a tabletta nem tér vissza, és a büntetésért felelős személy felel meg a büntetésnek.

A római történész Suetonius még egy egyszerű titkosítást is említ Caesar számára, amely a címzettnek egy kulcsot, ebben az esetben az ábécé áthelyezésének megfelelő számát igényelte, hogy megfejtse az üzenetet.

Ami a korszerűbb időket illeti, az elektronikus számítógépen futó jelszórendszer első ismert példányát ma már a Massachusetts Institute of Technology, Fernando Corbato nyugalmazott számítástechnikai professzora hajtotta végre. 1961-ben az MIT egy óriási időmegosztó számítógépet hívott össze, a Compatible Time Sharing System (CTSS) néven. Corbato egy 2012-es interjúban kijelentette: "A CTSS-ben a legfontosabb probléma az volt, hogy több terminált hoztunk létre, amelyeket több személynek kellene felhasználnia, de mindenkinek, akinek saját magánállománya van. A jelszó minden egyes felhasználó számára zárolásként nagyon egyszerű megoldásnak tűnt."

Valamit, amit meg kell említenünk, mielőtt folytatnánk, hogy a Corbota várakozás nélkül fogadja a számítógépes jelszórendszer első bevezetését. Azt javasolja, hogy az 1960-ban épített eszköz, amelyet az IBM az úgynevezett félig automatikus üzleti kutatási környezetet (Saber) hívott meg, amely (és még mindig frissített formában van) az utazási foglalások létrehozásához és fenntartásához használt, valószínűleg jelszavakat használt. Azonban, amikor az IBM-t kapcsolatba léptek ezzel kapcsolatban, nem voltak biztosak abban, hogy a rendszer eredetileg ilyen biztonsággal rendelkezett. És mivel úgy tűnik, hogy senki sem maradt fennmaradt rekordot arról, hogy történt-e, Corbato látszólag általánosan elismertnek tekintette, hogy az ilyen rendszereket először elektronikus számítógépre telepíti.

Természetesen a korai proto-jelszavakkal kapcsolatos probléma az, hogy mindegyiket egyszerű szöveges formában tárolták, annak ellenére, hogy ez a bevezetett biztonsági lyuk látható.

Ezen a feljegyzésen 1962-ben egy Allan Scherr nevű PHD diák sikerült megkapnia a CTSS-et, hogy kinyomtassa az összes számítógép jelszavát. Scherr megjegyzi,

Volt egy módja annak, hogy a fájlok offline nyomtatásához kérjenek lyukasztott kártyát a számlaszámmal és a fájl nevével. Késő péntek este kérelmet nyújtottam be a jelszófájlok kinyomtatásához, és nagyon korán reggel szombat reggel elmentem az iratszekrénybe, ahol a nyomatokat elhelyezték … Ezután folytathatnám a gépi idõt.

Ez a "lepusztulás" egyszerűen csak többet jelentett, mint a négy órát a napi számítógépes időnek, amelyet kapott.

Scherr ezután megosztotta a jelszavlistát azzal, hogy elhomályosítja az adatrögzítésben való részvételét. A rendszergazdák abban az időben egyszerűen úgy gondolták, hogy valahol valamilyen hiba volt a jelszórendszerben, és Scherrt soha nem fogták fel. Csak azt tudjuk, hogy ő felelõs, mert fél évszázaddal késõbb beismerte, hogy õ tette. Ez a kis adatszegés miatt az első ismert személy lopott számítógépes jelszavakat, amit a számítógép úttörője meglehetősen büszke a mai napra.

Scherr szerint, miközben néhányan a jelszavakat használják, hogy több időt kapjanak a gépen, hogy szimulációkat hajtsanak végre, mások úgy döntöttek, hogy használják őket, hogy bejelentkezzenek azokról az emberekről, akiknek nem tetszett, hogy csak a sértő üzeneteket hagyják el.Ami csak megmutatja, hogy míg a számítógépek sokat változtak az elmúlt fél évszázadban, az emberek biztosan nem.

Mindenesetre körülbelül 5 évvel később, 1966-ban, a CTSS ismét nagy mennyiségű adatszünetet tapasztal, amikor egy véletlenszerű rendszergazda véletlenül összekeverte a fájlokat, amelyek üdvözlő üzenetet mutattak minden felhasználónak és a fő jelszófájlnak … Ez a hiba látta, hogy minden jelszó tárolva van a gép megjelenik minden olyan felhasználónak, aki megpróbált bejelentkezni a CTSS-be. Tom Van Vleck ötvenedik évfordulója alkalmából emlékeztetett a "Jelszó Incidensre", és viccesen rájött erre: "Természetesen ez pénteken 17 órakor történt, és sok nem tervezett órát kellett változtatni az emberek jelszavainak megváltoztatására".

A teljes szöveges jelszóprobléma megkerülésének módja érdekében Robert Morris egy UNIX-os egyirányú titkosítási rendszert hozott létre, amely legalább elméletileg még akkor is, ha valaki hozzáférhet a jelszóadatbázishoz, nem tudná megmondani, hogy mi bármelyik jelszó volt. Természetesen a számítási teljesítmény és az intelligens algoritmusok fejlődésével még okosabb titkosítási rendszert kellett fejleszteni … és a fehér és a fekete kalapbiztonsági szakértők közötti harcok nagyjából már régóta zajlanak.

Mindez azt eredményezte, hogy Bill Gates 2004-ben híressé vált: "[Jelszavak] csak nem felelnek meg a kihívásnak bármiért, amit igazán meg akarsz szerezni."

Természetesen a legnagyobb biztonsági lyuk általában nem az alkalmazott algoritmusok és szoftverek, hanem maguk a felhasználók is. Mint az XKCD híres alkotója, Randall Munroe, olyan egyszerően megfogalmazta: "20 év erőfeszítéssel sikerült mindenki számára olyan embereket használni, akik olyan jelszavakat használnak, amelyek az emberek számára nehézek, de a számítógépek egyszerűen kitalálni."

A rossz jelszavak megtanulásáért felelős felszólaló feljegyzése a nemzeti szabványok és technológiák intézete által széles körben elterjedt, a nyolcoldalas NIST Special Publication 800-63 kiadványban közzétett ajánlásaira vezethető vissza. A függelék, amelyet Bill Burr 2003-ban írt.

Többek között Burr azt javasolta, hogy szavakkal helyettesítsék a véletlenszerű karaktereket, beleértve a nagybetűket és számokat is, és hogy a rendszergazdáknak rendszeresen megváltoztassák a jelszavaikat a maximális biztonság érdekében …

E látszólag általánosan elfogadott ajánlások közül a most nyugalmazott Burr egy interjúban nyilatkozott Wall Street Journal, "Sok mindent, amit tettem, most sajnálom …"

Ahhoz, hogy tisztességes legyen a Burr számára, a jelszavak humán pszichológiai vonatkozásaira vonatkozó tanulmányok nagyrészt nem léteztek abban az időben, amikor ezeket az ajánlásokat írták, és elméletileg minden bizonnyal az ő javaslatait legalább egy kicsit biztonságosabbnak kellene lennie számítási szempontból,.

Az ilyen ajánlásokkal kapcsolatos problémát a British National Cyber Security Center (NCSC) hangsúlyozza: "a jelszóhasználat elterjedése és az egyre összetettebb jelszóigény a legtöbb felhasználó számára irreális igényt támaszt. Elkerülhetetlen, hogy a felhasználók saját szembeszegítő mechanizmusokat dolgoznak ki a "jelszó-túlterhelés" kezelésére. Ez magában foglalja a jelszavak felírását, ugyanazon jelszó újbóli használatát különböző rendszereken vagy egyszerű és kiszámítható jelszavas létrehozási stratégiák használatával."

Erre a pontra 2013-ban a Google gyors kis tanulmányt végzett az emberek jelszavairól, és tudomásul vette, hogy a legtöbb ember az alábbiak egyikét használja jelszórendszerében: egy kedvenc, családtag vagy partner neve vagy születésnapja; egy évfordulót vagy más jelentős dátumot; születési helye; Kedvenc nyaralás; valami köze van a kedvenc sportcsapathoz; és megmagyarázhatatlan a jelszószó …

Tehát az alsó sorban a legtöbb ember olyan jelszavakat választ, amelyek olyan információkon alapulnak, amelyek könnyen hozzáférhetőek a hackerek számára, akik viszont viszonylag könnyen létrehozhatnak egy brute force algoritmust a jelszó feltörésére.

Szerencsére, bár lehet, hogy nem ismeri azt a mindenütt jelenlévő rendszerek ott, amelyek még mindig megkövetelik, hogy a legjobb benyomást keltsen Will Hunting jelszó megadására, a legtöbb biztonsági tanácsadó szervezet drasztikusan megváltoztatta ajánlásait az elmúlt években.

Például a fent említett NCSC azt javasolja többek között, hogy a rendszergazdák megakadályozzák az emberek megváltoztatását jelszavakat, hacsak a rendszeren belül nincsenek jelszavas jelszavak: "Ez terhelést ró a felhasználóra (aki valószínűleg új jelszavakat választ, amelyek csak kisebb változatok a régi), és nem hordoz tényleges előnyöket … "Továbbá megjegyzi, hogy a tanulmányok kimutatták, hogy" a rendszeres jelszó megváltoztatása kárt okoz, és nem javítja a biztonságot …"

Vagy a fizikusok és a megnevezett tudósok, Dr. Alan Woodward, a Surrey Egyetem feljegyzése szerint "minél gyakrabban kérsz valakit a jelszó megváltoztatására, annál gyengébbek a jelszavak, amelyeket általában választanak."

Hasonlóképpen még egy teljesen véletlen karakterkészlet a jellemző jelszavakra vonatkozó hosszúságoknál viszonylag érzékeny a brute force támadásokra további biztonsági intézkedések nélkül. Mint ilyen, az Országos Szabványügyi és Technológiai Intézet hasonlóképpen frissítette ajánlásait, és most ösztönzi az adminokat, hogy az emberek hosszadalmas, de egyszerű jelszóval foglalkozzanak.

Például egy olyan jelszó, mint például: "A jelszó elég könnyen megjegyezhető", általában nagyobb megbízhatóságú megbízások lesznek, mint a "[email protected] @ m3! 1" vagy akár a "* ^ sg5! J8H8 * @ #!”

Természetesen, az ilyen kifejezések használata közben a dolgok könnyű megjegyezni, még mindig nem veszi körül a nagy látszólag hetes előfordulási problémát, amelynek az adatbázisát feltörték, mivel ezek a rendszerek néha gyenge titkosítást használnak, vagy egyáltalán nem. privát adatok és jelszavak tárolására, például a közelmúltban megjelent Equifax-hackre, amely 145,5 millió embert látott az Egyesült Államokban személyes adataival, köztük teljes nevekkel, társadalombiztosítási számokkal, születési dátumokkal és címekkel. (A tó partján az Equifax megjegyezte, hogy körülbelül 15 millió brit állampolgár volt a nyilvántartásuk ellopása a jogsértésben is.)

A korábban említett első jelszóhack árnyalataiban, amelyeknek a Scherr-nek csak arra kérnie kellett a jelszófájl kinyomtatását, kiderül, hogy hozzáférést biztosít a személyes adatok nagy mennyiségéhez az Equifax üzletekben az emberek számára, egy névtelen számítógépbiztonsági szakértő elmondta Alaplap, "Mindössze annyit kellett tenned, hogy egy keresési kifejezést fektetsz be, és több millió eredményt kapsz, azonnal - egyértelmű szövegben, webes alkalmazáson keresztül."

Igen…

Emiatt a National Cyber Security Center most javasolja az adminoknak, hogy ösztönözzék az embereket a jelszókezelő szoftver használatára annak érdekében, hogy növeljék annak valószínűségét, hogy az emberek különböző jelszavakat használnak különböző rendszerekhez.

Végül egyetlen rendszer sem lesz teljesen biztonságos, függetlenül attól, hogy milyen jól tervezett, és hozzánk vezetett a fent említett híres Robert Morris kriptográfus által írt három, számítógépes biztonságra vonatkozó szabályokhoz: Nincs számítógépünk; ne kapcsolja be; és ne használja.

Bónusz tény:

Mindenki életében, akiket különböző vállalatok szerverein tároltak online - általában mindegyik jelszavakkal védett - a londoni egyetem egy nemrégiben megjelent tanulmányban megjegyezte, hogy az emberek körülbelül 10% -a mostantól felsorolja a közös jelszavakat azok szándékában, hogy biztos, hogy az emberek hozzáférhetnek az adataikhoz és fiókjaikhoz, miután meghaltak. Érdekes, hogy az emberek nem ezt a problémát ténylegesen megjegyezték, hogy súlyos problémát okoztak a szeptember 11-i támadások után. Például Howard Lutnick, a Cantor Fitzgerald egykori vezetõje megjegyezte, hogy meglehetõsen megnehezíthetetlen feladata, hogy nyomon kövesse a közel 700 alkalmazottat, akik a támadás során meghalták. Annak a kritikának köszönhetően, hogy a vállalat azonnal hozzáférhetett a fájlokhoz az esti kötvénypiacok megnyitása előtt, ő és munkatársai felhívták a halottak szerelmét, hogy kérdezzék a jelszavakat, vagy hogy a jelszavak miként lehetnek ugyanazon a napon … Szerencsére a vállalat számára a legtöbb jelszó a Bill Burr - a "J3r3my!" Fajta fent említett hibás ajánlásain alapult. Ez a Lutnick szeretteinek szerzett személyes adataival kombinálva lehetővé tette a Microsoft által küldött csapat számára, hogy viszonylag könnyedén fel tudja vágni az ismeretlen jelszavakat brutális erővel.