Chi ha inventato le password del computer?

Chi ha inventato le password del computer?

Qualcosa di simile alle password è stato apparentemente usato almeno fino a quando gli umani hanno registrato la storia. Ad esempio, uno dei primi riferimenti a qualcosa come una password è menzionato nel Libro dei Giudici, che è stato scritto per la prima volta intorno al sesto o settimo secolo aC. Nello specifico, si afferma in Judges 12:

E i Galaaditi presero i passi del Giordano davanti agli Efraimiti: ed era così, che quando quegli Efraimiti che erano scampati dissero: Lasciami andare; che gli uomini di Galaad gli dissero: Sei un Efraimita? Se ha detto, No;

Allora gli dissero: "Dì ora Shibboleth", e disse Sibboleth: perché non poteva incastrarsi per dirlo correttamente. Poi lo presero e lo uccisero sui passaggi del Giordano ...

Avanzare un po 'nella storia e legionari romani sono noti per aver usato un semplice sistema di passphrase per discernere se un estraneo fosse amico o nemico. Lo storico greco del II secolo aC, Polibio, descrive anche dettagliatamente come funzionava il sistema di password in modo da assicurarsi che tutti sapessero qual era la password corrente:

... dal decimo manipolo di ogni classe di fanteria e cavalleria, il manipolo che è accampato all'estremità inferiore della strada, viene scelto un uomo che è sollevato dal servizio di guardia, e assiste ogni giorno al tramonto alla tenda della tribuna e ricevendo da lui la parola d'ordine, che è una tavoletta di legno con la scritta su di essa, prende congedo e, tornando al suo alloggio, passa la parola d'ordine e la tavoletta prima di essere testimone del comandante del prossimo manipolo, che a sua volta passa a quello successivo. Tutti fanno lo stesso fino a raggiungere i primi manipoli, quelli accampati vicino alle tende dei tribuni. Questi ultimi sono obbligati a consegnare il tablet alle tribune prima del buio. In modo che se tutti quelli emessi vengono restituiti, la tribuna sa che la parola d'ordine è stata data a tutti i manipoli, e ha attraversato tutto mentre tornava da lui. Se manca uno di loro, fa immediatamente richiesta, come sa dai segni di quel trimestre in cui il tablet non è tornato, e chi è responsabile per l'arresto incontra la punizione che merita.

Lo storico romano Suetonius menziona persino Cesare usando un semplice codice che richiedeva al destinatario di conoscere una chiave, in questo caso il numero corretto di volte per spostare l'alfabeto, per decifrare il messaggio.

Per quanto riguarda i tempi moderni, la prima istanza nota di un sistema di password su un computer elettronico è stata implementata da professore di informatica in pensione presso il Massachusetts Institute of Technology, Fernando Corbato. Nel 1961, il MIT aveva un gigantesco computer con condivisione del tempo chiamato Sistema di condivisione del tempo compatibile (CTSS). Corbato avrebbe dichiarato in un'intervista del 2012: "Il problema chiave [con il CTSS] era che stavamo installando più terminali, che dovevano essere usati da più persone, ma con ogni persona che aveva il proprio set privato di file. Mettere una password per ogni singolo utente come una serratura sembrava una soluzione molto semplice. "

Qualcosa che dovremmo menzionare prima di continuare è che Corbota esita a prendere il merito di essere il primo ad implementare un sistema di password per computer. Suggerisce che un dispositivo costruito nel 1960 da IBM ha denominato Semi-Automatic Business Research Environment (Sabre), che era (ed è ancora in un formato aggiornato) utilizzato per creare e mantenere prenotazioni di viaggi, probabilmente usando password. Tuttavia, quando IBM è stata contattata al riguardo, non erano sicuri se il sistema avesse originariamente tale sicurezza. E siccome nessuno sembra avere alcun record sopravvissuto di ciò che ha fatto, Corbato è apparentemente universalmente dato il merito di essere stato il primo a mettere un tale sistema su un computer elettronico.

Ovviamente, un problema con queste precoci password è che tutte sono state archiviate in testo normale nonostante l'enorme lacuna di sicurezza introdotta.

In quella nota, nel 1962, uno studente di dottorato chiamato Allan Scherr riuscì a far stampare a CTSS tutte le password del computer. Scherr osserva,

C'era un modo per richiedere la stampa di file offline, inviando una scheda perforata con il numero di conto e il nome del file. Verso la fine di venerdì sera, ho presentato una richiesta per stampare i file delle password e sabato mattina sono andato al classificatore dove sono state collocate le stampe ... Potrei quindi continuare il mio furto di orario della macchina.

Questo "furto" stava semplicemente superando le quattro ore di tempo assegnato al computer giornaliero che gli era stato concesso.

Scherr ha quindi condiviso l'elenco delle password per offuscare il suo coinvolgimento nella culatta dei dati. Gli amministratori di sistema al momento pensavano semplicemente che ci fosse un bug nel sistema di password da qualche parte e Scherr non era mai stato catturato. Sappiamo solo che era responsabile perché ammise imbarazzato quasi mezzo secolo dopo che fu lui a farlo. Questa piccola violazione dei dati lo ha reso la prima persona conosciuta a rubare le password del computer, qualcosa di cui il pioniere del computer sembra piuttosto orgoglioso di oggi.

Esilarante, secondo Scherr, mentre alcune persone hanno usato le password per avere più tempo sulla macchina per eseguire simulazioni e simili, altri hanno deciso di usarle per accedere agli account di persone che non amavano solo per lasciare messaggi offensivi.Il che dimostra che mentre i computer possono essere cambiati molto nell'ultimo mezzo secolo, le persone non lo hanno fatto.

In ogni caso, circa 5 anni dopo, nel 1966, CTSS sperimentò ancora una volta una massiccia violazione dei dati quando un amministratore casuale accidentalmente confuse i file che mostravano un messaggio di benvenuto per ogni utente e il file della password principale ... Questo errore vide ogni password memorizzata su la macchina visualizzata a qualsiasi utente che ha tentato di accedere a CTSS. In un documento per commemorare il cinquantesimo anniversario dell'ingegnere CTSS, Tom Van Vleck ha ricordato con affetto il "Password Incident" e ne ha scherzosamente annotato: "Ovviamente questo è successo alle 17:00 di venerdì, e ho dovuto trascorrere diverse ore non pianificate cambiando le password delle persone."

Come un modo per aggirare l'intero problema di password in testo semplice, Robert Morris ha creato un sistema di crittografia unidirezionale per UNIX che, almeno in teoria, anche se qualcuno potesse accedere al database delle password, non sarebbe in grado di dire cosa c'era una qualsiasi delle password. Naturalmente, con i progressi nella potenza di calcolo e gli algoritmi intelligenti, è stato necessario sviluppare schemi di crittografia ancora più intelligenti ... e la battaglia tra esperti di sicurezza per i cappelli bianchi e neri ha praticamente continuato a farsi avanti e indietro da allora.

Tutto ciò ha portato alla famosa affermazione di Bill Gates nel 2004, "[Passwords] non soddisfa la sfida per nulla che tu voglia veramente proteggere".

Naturalmente, il più grande buco di sicurezza in genere non sono gli algoritmi e il software utilizzati, ma gli utenti stessi. Come famoso creatore di XKCD, Randall Munroe, una volta lo ha così fortemente toccato, "Attraverso 20 anni di sforzi, abbiamo addestrato con successo tutti a usare password difficili da ricordare per l'uomo, ma facili da indovinare per i computer."

Su questa nota di formazione delle persone a fare cattive password, la colpa di ciò può essere ricondotta a raccomandazioni ampiamente diffuse dall'Istituto nazionale degli standard e della tecnologia, pubblicate nel page turner che era la pubblicazione speciale NIST 800-63 di otto pagine. Appendice A, scritta da Bill Burr nel 2003.

Tra le altre cose, Burr ha raccomandato l'uso di parole con caratteri casuali sostituiti, tra cui la richiesta di lettere maiuscole e numeri, e che gli amministratori di sistema hanno persone che cambiano le loro password regolarmente per la massima sicurezza ...

Di queste raccomandazioni apparentemente universalmente adottate, Burr ha dichiarato in un'intervista al giornale di Wall Street, "Molto di quello che ho fatto ora mi pento ..."

Per essere onesti nei confronti di Burr, gli studi riguardanti l'aspetto psicologico umano delle password erano in gran parte inesistenti al momento in cui scrisse queste raccomandazioni e in teoria certamente i suoi suggerimenti avrebbero dovuto essere leggermente più sicuri da una prospettiva computazionale rispetto all'utilizzo di parole regolari .

Il problema con queste raccomandazioni è sottolineato dal British National Cyber ​​Security Center (NCSC) che dichiara "questa proliferazione dell'uso delle password e requisiti di password sempre più complessi pone una domanda irrealistica alla maggior parte degli utenti. Inevitabilmente, gli utenti concepiranno i propri meccanismi di coping per far fronte al "sovraccarico della password". Ciò include la scrittura di password, il riutilizzo della stessa password su sistemi diversi o l'utilizzo di strategie di creazione di password semplici e prevedibili. "

A questo punto, nel 2013 Google ha eseguito un breve studio sulle password delle persone e ha osservato che la maggior parte delle persone utilizza uno dei seguenti metodi di password: il nome o la data di nascita di un animale domestico, di un familiare o di un partner; un anniversario o altra data significativa; luogo di nascita; vacanza preferita; qualcosa a che fare con una squadra sportiva preferita; e, inesplicabile, la parola password ...

In conclusione, la maggior parte delle persone sceglie password basate su informazioni facilmente accessibili agli hacker, che a loro volta possono a loro volta creare con facilità un algoritmo di forza bruta per decifrare la password.

Per fortuna, anche se potresti non saperlo dall'ubiquità dei sistemi là fuori che richiedono ancora di fare la tua migliore impressione di Will Hunting per impostare una password, la maggior parte delle entità di consulenza sulla sicurezza hanno drasticamente cambiato le loro raccomandazioni negli ultimi anni.

Ad esempio, il summenzionato NCSC ora raccomanda, tra le altre cose, che gli amministratori di sistema smettano di far cambiare le password a meno che non ci sia una violazione nota della password all'interno del sistema come "Questo impone degli oneri all'utente (che è probabile che scelga nuove password che sono solo variazioni minori del vecchio) e non porta vantaggi reali ... "Inoltre, gli studi hanno dimostrato che" la password regolare modifica i danni anziché migliorare la sicurezza ... "

Oppure, come notano i fisici e il noto scienziato informatico Alan Woodward dell'Università del Surrey, "più spesso chiedi a qualcuno di cambiare la password, più le password sono deboli in genere".

Allo stesso modo, anche un insieme di caratteri completamente casuali alle lunghezze richieste dai requisiti di password è relativamente suscettibile agli attacchi di forza bruta senza ulteriori misure di sicurezza. In quanto tale, l'Istituto nazionale degli standard e della tecnologia ha anche aggiornato le loro raccomandazioni, incoraggiando ora gli amministratori a fare in modo che le persone si concentrino su password lunghe ma semplici.

Ad esempio, una password come "La mia password è abbastanza facile da ricordare." È in genere un ordine di grandezza più sicuro di "[email protected] @ m3! 1" o anche "* ^ sg5! J8H8 * @ #! ^ ”

Naturalmente, mentre usare frasi del genere rende le cose facili da ricordare, non risolve il problema del verificarsi apparentemente settimanale di alcuni servizi importanti che hanno il loro database compromesso, con sistemi che a volte usano una crittografia debole o addirittura nessuno nel loro la memorizzazione di dati privati ​​e password, come il recente hack di Equifax che ha visto 145,5 milioni di persone negli Stati Uniti hanno esposto i loro dati personali, inclusi nomi completi, numeri di previdenza sociale, date di nascita e indirizzi. (Attraverso lo stagno, Equifax ha anche notato che circa 15 milioni di cittadini britannici hanno rubato la loro documentazione nella violazione).

Nei toni del primo hack password mai menzionato in precedenza che richiedeva a Scherr di richiedere solo che il file della password fosse stampato, si scopre di avere accesso alla grande quantità di dati personali dei negozi Equifax sulle persone, ha detto un anonimo esperto di sicurezza informatica motherboard"Tutto quello che dovevi fare era inserire un termine di ricerca e ottenere milioni di risultati, solo istantaneamente, in chiaro, attraverso un'app web".

Sì…

A causa di questo genere di cose, il National Cyber ​​Security Center ora raccomanda anche agli amministratori di incoraggiare le persone a utilizzare il software di gestione password per aumentare la probabilità che le persone utilizzino password diverse per sistemi diversi.

Alla fine, nessun sistema sarà mai completamente sicuro, non importa quanto ben progettato, portandoci alle tre regole d'oro della sicurezza informatica, scritte dal già citato crittografo Robert Morris: "non possedere un computer; non accenderlo; e non usarlo. "

Fatti del bonus:

  • Nell'epoca in cui le vite di tutti sono archiviate online sui server di varie società, in genere tutte protette da password, l'Università di Londra ha osservato in uno studio recente che circa il 10% delle persone sta ora inserendo un elenco delle password comuni nel proprio testamento. certe persone possono accedere ai loro dati e account dopo la loro morte. È interessante notare che il problema delle persone che non lo fanno in realtà è notato come aver causato un grosso problema dopo gli attacchi dell'11 settembre. Per esempio, Howard Lutnick, un ex dirigente di Cantor Fitzgerald, ha notato il suo compito piuttosto invidiabile di dover rintracciare le password di quasi 700 dipendenti morti nell'attacco. A causa di quanto fosse fondamentale per l'azienda avere accesso ai propri file subito prima dell'apertura dei mercati delle obbligazioni serali, lui e il suo staff dovevano chiamare i propri cari per chiedere le password o le password potrebbero essere quel giorno stesso ... Fortunatamente per la società, la maggior parte delle password dei dipendenti si basava sulle citate raccomandazioni errate di Bill Burr, la varietà "J3r3my!". Questo, in combinazione con specifiche informazioni personali dei propri cari raccolti da Lutnick, ha permesso a un team inviato da Microsoft di crackare relativamente facilmente le password sconosciute tramite la forza bruta in breve tempo.

Lascia Il Tuo Commento