Siapakah yang Mencipta Kata Laluan Komputer?

2024 Pengarang: Sherilyn Boyd | [email protected]. Diubah suai terakhir: 2024-01-16 10:19

Dan orang Gilead mengambil jalur Yordan di hadapan orang Efraim: dan demikianlah, ketika orang Efraim yang melarikan diri itu berkata, "Izinkanlah aku pergi; bahwa orang-orang Gilead berkata kepadanya, "Engkau seorang Efraim? Jika dia berkata, Tidak;

Maka kata mereka kepadanya: Katakanlah sekarang Shibboleth; dan ia berkata kepada Sibboleth: karena ia tidak dapat berbuat demikian. Kemudian mereka membawanya, dan membunuh dia di perbatasan Jordan …

Fast forwarding sedikit dalam sejarah dan legionari Rom diketahui telah menggunakan sistem kata laluan mudah untuk membezakan sama ada orang asing adalah kawan atau musuh. Ahli sejarah Yunani SM abad kedua, Polybius, bahkan menerangkan secara terperinci bagaimana sistem kata laluan bekerja dalam hal memastikan semua orang tahu kata laluan semasa:

… dari pasukan kesepuluh dari setiap kelas infantri dan berkuda, orang yang berkhemah di bahagian bawah jalan, seorang lelaki dipilih yang lega dari tugas pengawasan, dan dia menghadiri setiap hari pada waktu matahari terbenam di khemah tribune, dan menerima daripadanya kata sepatah kata itu - tablet kayu dengan kata yang tertulis di atasnya - mengambil cuti, dan kembali ke kuartersnya melewati kata sepatah kata dan tablet sebelum saksi kepada komandan orang yang seterusnya, yang seterusnya berpindah ia kepada yang seterusnya. Semua melakukan perkara yang sama sehingga ia sampai kepada orang-orang yang pertama, yang berkemah di dekat khemah-khemah istana. Yang terakhir ini wajib menyampaikan tablet ke tribun sebelum gelap. Supaya jika semua yang dikeluarkan dikembalikan, tribun mengetahui bahawa kata sepatah kata telah diberikan kepada semua orang, dan telah melalui semua dalam perjalanan kembali kepadanya. Sekiranya salah seorang daripadanya hilang, dia membuat siasatan sekaligus, kerana dia tahu dengan tanda dari mana suku tablet itu belum dikembalikan, dan sesiapa yang bertanggungjawab untuk penghentian itu bertemu dengan hukuman yang dia berikan.

Ahli sejarah Rom Suetonius juga menyebut Caesar menggunakan cipher mudah yang memerlukan penerima mengetahui kunci, dalam hal ini bilangan kali yang tepat untuk mengalihkan abjad, untuk menguraikan mesej.

Untuk masa yang lebih moden, contoh sistem kata laluan yang pertama kali diketahui pada komputer elektronik telah dilaksanakan oleh kini profesor komputer sains retired di Massachusetts Institute of Technology, Fernando Corbato. Pada tahun 1961, MIT mempunyai komputer perkongsian masa gergasi yang dipanggil Sistem Masa Berbual Serasi (CTSS). Corbato akan menyatakan dalam temu bual 2012: "Masalah utama [dengan CTSS] ialah kami menubuhkan pelbagai terminal, yang akan digunakan oleh berbilang orang tetapi dengan setiap orang mempunyai satu set fail sendiri. Menempatkan kata laluan untuk setiap pengguna sebagai kunci kelihatan seperti penyelesaian yang sangat mudah."

Sesuatu yang perlu kita sebutkan sebelum meneruskan adalah bahawa Corbota teragak-agak untuk mengambil kredit kerana menjadi orang pertama yang melaksanakan sistem kata laluan komputer. Beliau mencadangkan bahawa sebuah peranti yang dibina pada tahun 1960 oleh IBM menamakan Persekitaran Penyelidikan Perniagaan Semi-Automatik (Saber), yang (dan masih dalam bentuk dinaik taraf) yang digunakan untuk membuat dan mengekalkan tempahan perjalanan, mungkin menggunakan kata laluan. Walau bagaimanapun, apabila IBM dihubungi mengenai perkara ini, mereka tidak pasti jika sistem itu pada asalnya mempunyai keselamatan sedemikian. Dan kerana tiada siapa yang mempunyai rekod yang masih hidup sama ada itu, Corbato dianggap sebagai kredit sejagat kerana menjadi orang pertama yang meletakkan sistem sedemikian pada komputer elektronik.

Sudah tentu, masalah dengan proto-kata laluan awal ini adalah bahawa semua mereka disimpan dalam teks biasa walaupun lubang keselamatan menganga ini memperkenalkan.

Pada catatan itu, pada tahun 1962, seorang pelajar PHD yang dipanggil Allan Scherr berjaya mendapatkan CTSS untuk mencetak semua kata laluan komputer. Nota Scherr,

Terdapat cara untuk meminta fail yang dicetak di luar talian, dengan menyerahkan kad yang ditekan dengan nombor akaun dan nama fail. Pada suatu hari Jumaat malam, saya mengemukakan permintaan untuk mencetak fail kata laluan dan awal pagi Sabtu pergi ke kabinet fail di mana cetakan telah diletakkan … Saya kemudian dapat meneruskan larceny masa mesin saya.

Ini "larceny" hanya mendapat lebih daripada empat jam masa komputer yang diperuntukkan setiap hari yang diberikan kepadanya.

Scherr kemudian berkongsi senarai kata laluan untuk membantah penglibatannya dalam breech data. Pentadbir sistem pada masa itu hanya menganggap bahawa terdapat bug dalam sistem kata laluan di suatu tempat dan Scherr tidak pernah ditangkap. Kita hanya tahu bahawa dia bertanggungjawab kerana dia mengaku telah mengaku hampir setengah abad kemudian bahawa dia yang melakukannya. Pelanggaran data kecil ini menjadikannya orang pertama yang dikenali untuk mencuri kata laluan komputer, sesuatu yang perintis komputer kelihatannya sangat membanggakan hari ini.

Secara kasar, menurut Scherr, sementara beberapa orang menggunakan kata laluan untuk mendapatkan lebih banyak masa di mesin untuk menjalankan simulasi dan sebagainya, yang lain memutuskan untuk menggunakannya untuk log masuk ke akaun orang yang mereka tidak suka hanya untuk meninggalkan mesej yang menghina.Yang mana pergi untuk menunjukkan bahawa walaupun komputer mungkin banyak berubah dalam abad ke-setengah yang lalu, orang pasti tidak.

Dalam apa jua keadaan, kira-kira 5 tahun kemudian, pada tahun 1966, CTSS sekali lagi mengalami pelanggaran data secara besar-besaran apabila pentadbir rawak secara tidak sengaja bercampur-campur fail yang memaparkan mesej selamat datang kepada setiap pengguna dan fail kata laluan induk … Kesilapan ini melihat setiap kata laluan yang disimpan pada mesin yang dipaparkan kepada mana-mana pengguna yang cuba masuk ke CTSS. Dalam sebuah kertas yang memperingati ulang tahun kelima jurutera CTSS, Tom Van Vleck, dengan mesra mengenang "Insiden Kata Laluan" dan berseloroh menyebutnya: "Sememangnya ini berlaku pada pukul 5 petang pada hari Jumaat, dan saya terpaksa menghabiskan beberapa waktu yang tidak dirancang untuk mengubah kata laluan orang ramai."

Sebagai cara untuk mendapatkan sekitar masalah kata laluan teks biasa, Robert Morris mencipta sistem penyulitan satu arah untuk UNIX yang sekurang-kurangnya menjadikannya secara teori walaupun seseorang boleh mengakses pangkalan data kata laluan, mereka tidak akan dapat memberitahu apa mana-mana kata laluan itu. Sudah tentu, dengan kemajuan dalam kuasa pengkomputeran dan algoritma pintar, lebih banyak skrip penyulitan pintar perlu dibangunkan … dan pertempuran antara pakar keselamatan topi putih dan hitam telah banyak berulang-ulang sejak itu.

Ini semua membawa kepada Bill Gates yang terkenal pada tahun 2004, "[Kata Laluan] hanya tidak memenuhi cabaran untuk apa sahaja yang anda mahukan."

Sudah tentu, lubang keselamatan terbesar bukannya algoritma dan perisian yang digunakan, tetapi pengguna itu sendiri. Sebagai pencipta XKCD yang terkenal, Randall Munroe, sekali gus berkata, "Melalui usaha selama 20 tahun, kami berjaya melatih semua orang untuk menggunakan kata laluan yang sukar untuk dikenang oleh manusia, tetapi mudah untuk ditebak oleh komputer."

Atas nota latihan orang ramai untuk membuat kata-kata yang tidak baik, yang menyalahkan ini dapat ditelusuri kembali kepada cadangan yang disebarkan secara meluas oleh Institut Teknologi dan Teknologi Kebangsaan, yang diterbitkan dalam pemuka halaman yang merupakan lapan halaman NIST Special Publication 800-63. Lampiran A, yang ditulis oleh Bill Burr pada tahun 2003.

Antara lain, Burr mengesyorkan penggunaan kata-kata dengan aksara rawak yang digantikan, termasuk memerlukan huruf besar dan nombor, dan pentadbir sistem mempunyai orang menukar kata laluan mereka secara kerap untuk …

Daripada cadangan yang diterima secara universal ini, Burr yang kini bersara dinyatakan dalam temu bual dengan jurnal dinding jalan, "Banyak yang saya lakukan sekarang saya menyesal …"

Untuk bersikap adil kepada Burr, kajian mengenai aspek psikologi manusia kata laluan tidak banyak berlaku pada masa dia menulis cadangan-cadangan ini dan dalam teori pasti cadangannya sekurang-kurangnya sepatutnya sangat sedikit lebih selamat dari perspektif komputasi daripada menggunakan kata-kata biasa.

Masalah dengan cadangan ini ditunjukkan oleh Pusat Keselamatan Siber Kebangsaan British (NCSC) yang menyatakan, "percambahan penggunaan kata laluan ini dan keperluan kata laluan yang semakin kompleks, memberikan permintaan yang tidak realistik terhadap kebanyakan pengguna. Tidak dapat dielakkan, pengguna akan membuat mekanisme penangguhan mereka sendiri untuk mengatasi 'beban kata laluan'. Ini termasuk menulis kata laluan, menggunakan semula kata laluan yang sama merentasi sistem yang berbeza, atau menggunakan strategi penciptaan kata laluan yang mudah dan boleh diramal."

Untuk itu, pada tahun 2013 Google melakukan kajian ringkas mengenai kata laluan orang ramai dan menyatakan bahawa kebanyakan orang menggunakan salah satu daripada berikut dalam skema kata laluan mereka: Nama atau hari lahir seseorang haiwan kesayangan, ahli keluarga atau rakan kongsi; ulang tahun atau tarikh penting yang lain; tempat kelahiran; percutian kegemaran; ada kaitan dengan pasukan sukan kegemaran; dan, tidak dapat diterangkan, kata laluan kata …

Oleh itu, pada dasarnya, kebanyakan orang memilih kata laluan yang berdasarkan maklumat yang mudah diakses oleh penggodam, yang kemudiannya boleh dengan mudah membuat algoritma kekerasan untuk memecahkan kata laluan.

Syukurlah, semasa anda mungkin tidak mengetahui dari mana-mana sistem di luar sana yang masih memerlukan anda untuk membuat kesan terbaik anda terhadap Memburu untuk menetapkan kata laluan, kebanyakan entiti penasihat keselamatan secara drastik telah mengubah saranan mereka dalam beberapa tahun kebelakangan ini.

Sebagai contoh, NCSC yang telah disebutkan di atas kini mengesyorkan, antara lain, pentadbir sistem berhenti membuat orang menukar kata laluan melainkan terdapat pelanggaran kata laluan yang diketahui dalam sistem seperti, "Ini mengenakan beban kepada pengguna (yang mungkin memilih kata laluan baru yang hanya variasi kecil yang lama) dan tidak membawa faedah yang nyata … "Lebih lanjut menyatakan bahawa kajian telah menunjukkan bahawa" Kata laluan tetap mengubah kemudaratan daripada meningkatkan keselamatan …"

Atau sebagai ahli fizik dan ahli sains komputer Dr. Alan Woodward dari University of Surrey mencatat, "semakin sering anda meminta seseorang untuk mengubah kata laluan mereka, semakin lemah kata laluan yang biasanya mereka pilih."

Begitu juga, walaupun satu set aksara yang rawak pada panjang keperluan kata laluan yang biasa adalah mudah terdedah kepada serangan kekerasan tanpa melakukan langkah keselamatan. Oleh itu, Institut Piawaian dan Teknologi Kebangsaan juga telah mengemaskini cadangan mereka, kini menggalakkan pentadbir memberi fokus kepada kata laluan yang panjang, tetapi mudah.

Sebagai contoh, kata laluan seperti "Kata laluan saya cukup mudah diingat." Secara amnya akan menjadi arahan magnitud yang lebih selamat daripada "[email protected] @ m3! 1" atau bahkan "* ^ sg5! J8H8 * @ #! ^"

Sudah tentu, semasa menggunakan frasa tersebut membuat perkara mudah diingat, ia masih tidak dapat menyelesaikan masalah kejadian yang seolah-olah mingguan beberapa perkhidmatan utama yang mempunyai pangkalan data mereka digodam, dengan sistem tersebut kadang-kadang menggunakan penyulitan yang lemah atau bahkan tidak ada dalamnya menyimpan data peribadi dan kata laluan, seperti hack Equifax baru-baru ini yang menyaksikan 145.5 juta orang di AS mempunyai data peribadi mereka yang terdedah, termasuk nama penuh, Nombor Keselamatan Sosial, tarikh lahir dan alamat. (Di seberang kolam, Equifax juga mencatatkan kira-kira 15 juta rakyat UK mempunyai rekod mereka juga dicuri.)

Dalam warna kata laluan kata laluan yang pertama kali disebut sebelum ini yang memerlukan Scherr hanya meminta bahawa fail kata laluan dicetak, ternyata untuk mendapatkan akses kepada banyak data peribadi Equifax pada orang, pakar keselamatan komputer tanpa nama Motherboard, "Apa yang anda perlu lakukan adalah dalam istilah carian dan mendapatkan berjuta-juta hasil, hanya seketika-dalam cleartext, melalui aplikasi web."

Ya …

Kerana hal semacam ini, Pusat Keselamatan Siber Nasional juga kini mengesyorkan pentadbir mendorong orang untuk menggunakan perisian pengurus kata laluan untuk membantu meningkatkan kemungkinan orang menggunakan kata laluan yang berbeza untuk sistem yang berbeza.

Akhirnya, tidak ada sistem yang akan menjadi selamat sepenuhnya, tidak kira bagaimana direka dengan baik, membawa kita kepada tiga peraturan keselamatan komputer, ditulis oleh cryptographer terkenal Robert Morris: "tidak memiliki komputer; jangan kuatkannya; dan jangan gunakannya."

Fakta Bonus:

Dalam usia semua orang disimpan dalam talian di pelayan pelbagai syarikat - umumnya semua dilindungi oleh kata laluan, University of London mencatatkan dalam kajian baru-baru ini bahawa kira-kira 10% orang kini meletakkan senarai kata laluan umum mereka dalam kehendak mereka untuk membuat orang pasti boleh mengakses data dan akaun mereka selepas mereka mati. Menariknya, masalah orang yang tidak melakukan ini sebenarnya dicatatkan kerana telah menyebabkan masalah besar selepas serangan 9/11. Sebagai contoh, Howard Lutnick, seorang eksekutif satu kali di Cantor Fitzgerald, mencatatkan tugasnya yang agak sukar difahami untuk mengesan kata laluan hampir 700 pekerja yang mati dalam serangan itu. Memandangkan betapa kritikal bagi syarikat untuk mendapatkan akses kepada fail mereka sebelum pasaran bon malam dibuka, dia dan kakitangannya perlu menghubungi orang yang tersayang daripada orang mati untuk meminta kata laluan atau kata laluan yang mungkin pada hari yang sama … Untungnya bagi syarikat itu, kebanyakan kata laluan pekerja adalah berdasarkan kepada cadangan yang dicacatkan oleh Bill Burr - pelbagai "J3r3my!". Ini, dalam kombinasi dengan maklumat peribadi tertentu dari orang yang dikasihi Lutnick yang dikumpulkan, membenarkan pasukan yang dihantar oleh Microsoft untuk dengan mudah memecahkan kata laluan yang tidak diketahui melalui kekerasan secara ringkas.