Что-то сродни паролям, по-видимому, используется, по меньшей мере, с тех самых пор, когда люди начали записывать историю.
Например, одно из первых упоминаний, касающихся того, что можно назвать «паролем», содержится в «Книге Судей Израилевых», которая была написана примерно в VI или VII веке до нашей эры. В частности, в 12-й главе говорится:
«И перехватили Галаадитяне переправу чрез Иордан от Ефремлян, и когда кто из уцелевших Ефремлян говорил: “позвольте мне переправиться”, то жители Галаадские говорили ему: не Ефремлянин ли ты? Он говорил: нет. Они говорили ему “скажи: шибболет”, а он говорил: “сибболет”, и не мог иначе выговорить. Тогда они, взяв его, закололи у переправы чрез Иордан».
Римские легионеры, как известно, использовали простую систему фраз, чтобы определить, был ли незнакомец другом или врагом. Греческий историк Полибий, живший во втором веке до нашей эры, подробно описывает такую систему паролей:
«…из десятой манипулы каждого класса пехоты и кавалерии, манипулы, которая располагается в самом конце улице, выбирается человек, которого освобождают от несения караульной службы; и каждый день на закате он идёт в шатёр трибуна и получает от него пароль и деревянную табличку со словом, после этого он уходит и по возвращении в своё подразделение передаёт на глазах у свидетелей пароль и табличку командиру следующей манипулы, который, в свою очередь, передаёт их дальше. Так проделывают до тех пор, пока очередь не дойдёт до первых манипул, тех, что располагаются у шатров трибун. Последние обязаны доставить табличку трибунам до наступления темноты. Если табличка возвращается к трибуну, это означает, что пароль знают все манипулы. Если какая-либо из них пропущена, трибун тут же делает запрос; по отметкам на таблице он видит, какое подразделение не передало пароль, а, значит, должно понести заслуженное наказание».
Римский историк Светоний пишет о том, что Цезарь использовал простой шифр, который требовал, чтобы получатель знал ключ, необходимый для расшифровки послания.
Что касается более современных времён, то первая известная система паролей на электронном компьютере была реализована профессором информатики из Массачусетского технологического института (МТИ) Фернандо Корбато. В 1961 году в МТИ был разработан огромный компьютер под названием Compatible Time-Sharing System (CTSS – Совместимая система с разделением времени). Во время интервью 2012 года Корбато заявил:
«Ключевая проблема, связанная с CTSS, заключалась в том, что мы установили несколько терминалов, которые использовались разными людьми, при этом каждый человек имел собственный личный набор файлов. Ввод индивидуального пароля в качестве блокировки доступа казался очень простым решением».
Прежде чем продолжить, стоит сказать, что Корбота не считает, что он первым внедрил систему компьютерных паролей. Он предполагает, что устройство Semi-Automatic Business Research Environment (Sabre – Полуавтоматическое оборудование для коммерческих исследований), созданное компанией IBM в 1960 году, вероятно, использовало пароли. Тем не менее, когда представителей IBM спросили об этом, они выразили свою неуверенность относительно того, имела ли изначально данная система такую безопасность. И поскольку, похоже, нет никаких сохранившихся записей об этом, Корбато приписывают тот факт, что он является первым человеком, который ввёл систему паролей на электронном компьютере.
Суть проблемы ранних прото-паролей, заключается в том, что все они хранились в виде обычного текста, несмотря на зияющую дыру в безопасности, которую это за собой влекло.
В 1962 году студенту по имени Аллан Шерр удалось заставить CTSS распечатать все компьютерные пароли. Шерр отмечает:
«Существовал способ запросить файлы для печати в режиме оффлайн, при помощи перфокарты с номером учётной записи и названием файла. Поздно вечером в пятницу я отправил запрос на печать файлов с паролями, а рано утром в субботу отправился в картотеку, где нашёл распечатки… Я мог бы продолжить кражу машинного времени».
Эта «кража» заключалась в использовании компьютера больше отведённого ему времени (как правило, по 4 часа каждый день).
Шерр затем распространил список паролей, чтобы скрыть свою причастность к утечке данных. Системные администраторы тогда просто подумали, что, должно быть, произошла какая-то ошибка в системе паролей, и Шерра так никогда и не вычислили. Мы знаем, что это было его рук дело, только потому, что он сам в этом признался почти полвека спустя. Эта утечка данных сделала его первым человеком на Земле, которому удалось украсть компьютерные пароли, и, кажется, он очень гордится таким статусом.
По словам Шерра, в то время как одни люди использовали пароли, чтобы дольше поработать за машиной, другие заходили под чужими учётными записями просто для того, чтобы оставить оскорбительные послания тем, кто им не нравился.
Как бы там ни было, примерно пять лет спустя, в 1966 году, CTSS снова столкнулась с массовой утечкой данных, когда администратор случайно перепутал файлы с приветственным сообщением, отображавшемся на экране, и паролями… Эта ошибка привела к тому, что каждый пароль, сохранённый на машине, отображался любому пользователю, который пытался войти в CTSS. Во время интервью для выпуска газеты, посвящённого пятидесятилетию со дня создания CTSS, инженер Том Ван Влек вспомнил «Инцидент с паролями» и в шутку заявил: «Это произошло в пятницу в пять часов вечера, и мне пришлось потратить несколько часов на то, чтобы сменить пароли людей».
Для того чтобы избавиться от проблемы, связанной с простыми текстовыми паролями, Роберт Моррис создал одностороннюю систему шифрования для UNIX. Впоследствии, с развитием вычислительной мощности и умных алгоритмов, были разработаны более эффективные системы шифрования, и с тех пор неустанно ведётся битва между «белыми и чёрными шляпами».
Всё это привело к тому, что в 2004 году Билл Гейтс лихо заявил:
«[Пароли] не соответствуют требованиям всего того, что вы действительно хотите защитить».
Конечно, самая большая дыра в безопасности – это, как правило, не алгоритмы или программное обеспечение, а сами пользователи. Как однажды сказал известный создатель XKCD Рэндалл Манро: «За 20 лет мы успешно научили всех использовать пароли, которые трудно запомнить людям, но легко угадать компьютерам».
Вину за то, что люди создают плохие пароли, можно возложить на широко распространённые рекомендации Национального института стандартов и технологий. В частности, речь идёт о приложении А, написанном Биллом Берром в 2003 году.
Среди прочего, Берр рекомендовал использовать слова со случайными символами, включая заглавные буквы и цифры. Он также сделал акцент на том, чтобы системные администраторы заставляли людей регулярно менять пароли для обеспечения максимальной безопасности…
Ссылаясь на эти, казалось бы, универсальные рекомендации, Берр заявил в интервью для Wall Street Journal: «Я жалею о многом из того, что сделал…».
Справедливости ради стоит отметить, что исследований, касающихся человеческой психологии создания паролей, в то время, когда Берр писал рекомендации, не существовало, и с теоретической точки зрения пароли, созданные с учётом его советов, казались более безопасными, по сравнению с использованием обычных слов.
На проблему, связанную с этими рекомендациями, указывает Британский национальный центр кибербезопасности (NCSC):
«…увеличение популярности использования паролей и всё более сложные требования, предъявляемые к ним, усложняют жизнь большинства пользователей. Они неизбежно будут разрабатывать собственные механизмы, чтобы справиться с “парольной перегрузкой”. Они включают записывание паролей, использование одного и того же пароля для входа в разные системы или применение простых и предсказуемых стратегий создания паролей».
В 2013 году компания Google провела небольшое исследование на тему паролей и отметила, что большинство людей используют одну из следующих схем создания паролей: кличка или день рождения домашнего животного, члена семьи или возлюбленного; какая-либо знаменательная дата; место рождения; любимый праздник; что-то связанное с любимой спортивной командой и, конечно же, какое-нибудь слово…
Итак, суть в том, что большинство людей выбирают пароли, основанные на информации, легко доступной для хакеров, которые, в свою очередь, могут без особых проблем создать метод «грубой силы» (полный перебор), чтобы взломать пароль.
К счастью, хотя вы можете и не знать об этом из-за повсеместного распространения систем, основанных на старых рекомендациях, за последние несколько лет большинство консультативных органов по вопросам безопасности резко изменили свои советы.
Например, вышеупомянутый британский Национальный центр кибербезопасности теперь рекомендует системным администраторам, помимо прочего, перестать заставлять людей менять пароли, если в системе не наблюдается утечки данных: «Это накладывает бремя на пользователей (которые, вероятнее всего, выберут такие новые пароли, которые будут представлять собой лишь незначительные вариации старых) и не несёт никаких реальных преимуществ…».Более того, исследования показывают, что «регулярная смена, наоборот, пароля вредит безопасности, а не улучшает её».
Или как отмечает физик и компьютерный учёный доктор Алан Вудворд из Университета Суррея:
«Чем чаще вы просите изменить людей пароль, тем слабее пароли, которые они выбирают».
Аналогичным образом, даже совершенно случайный набор символов при стандартной длине пароля является относительно восприимчивым к атакам «грубой силы» без дополнительных мер безопасности. Таким образом, Национальный институт стандартов и технологий также обновил свои рекомендации и поощряет администраторов заставлять людей отдавать предпочтение длинным, но простым паролям.
Например, пароль вроде «Мой пароль легко запомнить», как правило, будет на порядок более безопасным, чем “D@ught3rsN@m3!1” или даже “*^sg5!J8H8*@#!^”.
Конечно, использование таких фраз облегчает запоминание, однако это по-прежнему не решает проблему безопасности, поскольку едва ли не каждую неделю какой-нибудь крупный сервис сталкивается со взломом данных. Причина в том, что подобные системы используют слабое шифрование для хранения личных данных и паролей. Так, например, в результате недавней хакерской атаки на Equifax были взломаны данные о 145 миллионах жителей США, включая их полные имена, номера социального страхования, даты рождения и адреса.
Для первого в истории взлома (о котором речь шла выше) Шерру понадобилось всего лишь выполнить запрос на печать файла паролей. Однако оказывается, что для того чтобы получить доступ к огромному количеству персональных данных Equifax, не нужно было делать ничего сверхъестественного. Как сказал анонимный эксперт по компьютерной безопасности в интервью для Motherboard: «Всё, что вам нужно было сделать – это ввести поисковый запрос и получить миллионы результатов мгновенно – в незашифрованном виде, через веб-приложение».
Мда…
Ввиду этого, Национальный центр кибербезопасности теперь также рекомендует администраторам поощрять людей использовать менеджер паролей для того, чтобы повысить вероятность того, что они не будут использовать одинаковые пароли для разных систем.
В конце концов, ни одна система никогда не будет абсолютно безопасной, независимо от того, насколько хорошо она разработана. Это подводит нас к трём золотым правилам компьютерной безопасности, написанным вышеупомянутым знаменитым криптографом Робертом Моррисом:
«Не владейте компьютером; не включайте его; не пользуйтесь им».
фото: i.imgur.com
Muz4in.Net – по материалам сайта todayifoundout.com
