誰がコンピュータのパスワードを発明しましたか?

誰がコンピュータのパスワードを発明しましたか?

パスワードに似た何かが、人間が歴史を記録している限り、少なくとも一見使用されています。例えば、パスワードのようなものへの最も初期の言及の1つは、紀元前6世紀または7世紀頃に書かれた「裁判官の書」に言及されています。具体的には、裁判官12:

ギレアデびとはエフライムびとの前でヨルダン川の通路を取った。エフライムびとが逃げた時、言った。ギレアデの人々が彼に言った、あなたはエフライム人ですか?もし彼が言ったならば、いいえ。

彼は彼らに言った、「今、シボルスと言ってください。シボルスは言った。それから彼らは彼を連れて、ヨルダンの通路で彼を殺した...

歴史の中で少し早送りすることとローマのレギオンは、単純なパスフレーズのシステムを使って、見知らぬ人が友人か敵かを識別することが知られています。紀元前2世紀のギリシャの歴史家ポリビウス(Polybius)は、パスワードシステムがどのように働いているのかを誰もが現在のパスワードが何であるかを知ることを確実にするという観点から詳しく説明しています。

...歩兵と騎兵の各クラスの10番目のマニプルから、通りの下端に包まれたマニピプル、警備義務から解放された男が選ばれ、彼はトリビューンのテントで日没時に毎日出席するそれに記された言葉の木製のタブレットである言葉を彼から受け取り、彼の休暇を取って、自分の部屋に戻ってくると、次のマニピプルの指揮官に目撃者の前に、それは彼の隣にある。すべてが同じように、最初の弟子たち、すなわち、トリビューンの天幕の近くに陣を取った人たちに届くまでです。これらの後者は暗くなる前にトリビューンに錠剤を届けなければならない。すべての発行されたものが返還されれば、トリビューンはその言葉がすべての弟子たちに与えられたことを知っているので、すべての道を通って彼に戻ってきました。いずれかの人が行方不明の場合、錠剤が何の四分の一から戻ってこなかったかを知っているので、一度に問い合わせを行い、その責任を負う者は、その罰を受ける。

ローマの歴史家Suetoniusは、単純な暗号を使ってCaesarについて言及しても、受信者にキーを知ってもらう必要があります。この場合、アルファベットをシフトする正しい回数がメッセージを解読する必要があります。

より現代的には、電子コンピュータ上のパスワードシステムの最初の既知のインスタンスは、マサチューセッツ工科大学(フェルナンドコルバト)の退職したコンピュータサイエンス教授によって現在実装されていました。 1961年、MITには互換タイムシェアリングシステム(CTSS)と呼ばれる巨大なタイムシェアリングコンピュータがありました。 Corbatoは2012年のインタビューで次のように述べています。「CTSSの重要な問題は、複数の人が使用する複数の端末を設定することでした。個々のユーザーのパスワードをロックとして入力することは、非常に簡単な解決策のようでした」

続行する前に何か言及すべきことは、コルボタはコンピュータパスワードシステムを最初に実装することに躊躇していることです。彼は、IBMが1960年に構築したデバイスが、セミ自動ビジネス研究環境(セイバー)と呼ばれていたことを示唆しています。しかし、IBMがこれについて連絡を取ったとき、システムがもともとそのようなセキュリティを持っているかどうかは不明でした。コバルトは、そのようなシステムを電子計算機に初めて導入したことで普遍的に認められているように見えます。

もちろん、これらの初期の原パスワードの問題は、これが導入されたセキュリティホールにもかかわらず、すべてが平文で保存されていたことです。

このノートでは、1962年に、Allan ScherrというPHDの学生がCTSSにコンピュータのパスワードをすべて印刷するように手伝った。 Scherr氏は、

口座番号とファイル名のパンチカードを提出することにより、ファイルをオフラインで印刷するように要求する方法がありました。私は金曜日の夜遅く、パスワードファイルの印刷依頼を提出し、土曜日の午前中は印刷物が置かれたファイルキャビネットに行きました。私は機械時間の窃盗を続けました。

この「窃盗」は、与えられた毎日のコンピュータ時間を割り当てられた4時間以上を単に上回っていました。

Scherrはパスワードリストを共有して、データブリーチでの関与を難読化しました。当時のシステム管理者は、どこかでパスワードシステムにバグがあったに違いないと単純に考えていました.Scherrは決して捕まえられませんでした。彼は約半世紀後に彼女がそれをやったということをぞっとして認めたので、彼は責任があることを知っています。この小さなデータ侵害により、コンピュータのパスワードを盗むのは初めての人物になりました。コンピュータのパイオニアは今日、非常に誇りに思います。

Scherrによれば、シミュレーションを実行するためにパスワードを使用していた人もいましたが、嫌なメッセージを残すだけの好きな人のアカウントにログオンすることを決めた人もいました。最後の半世紀にコンピュータが大きく変わったかもしれないが、人々は確かにそうではないことを示している。

いずれにしても、5年後の1966年にCTSSは、ランダムな管理者が誤って各ユーザとマスターパスワードファイルにウェルカムメッセージを表示するファイルを混在させたときに、大量のデータ侵害を再び経験しました... CTSSへのログインを試みたすべてのユーザに表示されます。 CTSSのエンジニアであるTom Van Vleckの創立50周年記念論文では、「Password Incident」を思い出させて冗談を言いました。「これは金曜日の午後5時に起こり、計画外の時間を過ごして人のパスワードを変更する必要がありました。

プレーンテキストのパスワードの問題を回避する方法として、Robert MorrisはUNIX用の一方向暗号化システムを作成しました。これは、誰かがパスワードデータベースにアクセスできるとしても、いずれかのパスワードがありました。もちろん、コンピューティングパワーと巧妙なアルゴリズムの進歩により、より賢明な暗号化スキームが開発されなければなりませんでした...そして、白と黒の帽子のセキュリティ専門家の間の戦いは、それ以来ずっと前後して行われてきました。

これは、2004年にBill Gatesが有名になったことにつながっています。「[パスワード]は、あなたが本当に安全にしたいことがあれば、挑戦することはできません。

もちろん、最大のセキュリティホールは一般にアルゴリズムやソフトウェアの使用ではなく、ユーザー自身のものです。かつてXKCDの有名な作者であったRandall Munroe氏は、「20年の努力を経て、人間が覚えにくいパスワードを使用するように全員をうまく訓練しましたが、コンピュータが推測するのは簡単です」

この悪質なパスワードを作成する人の訓練のこのノートでは、これはNIST Special Publication 800-63の8ページであったページターナーに掲載されたNational Institute of Standards and Technologyの広く普及した勧告にさかのぼることができます。 2003年にBill Burrによって書かれた付録A。

とりわけ、Burrは、大文字と数字を必要とするなど、ランダムな文字を使用した単語の使用を推奨しています。システム管理者は、最大のセキュリティのためにパスワードを定期的に変更するようにしています...

これらの見かけ上普遍的に採用された勧告のうち、退職したBurr氏は、 ウォールストリートジャーナル、 "私がやったことの多くは今、後悔している..."

Burrにとって公正であるために、パスワードの人間の心理学の側面に関する研究は、彼がこれらの勧告を書いた時点ではほとんど存在しておらず、確かに彼の提案は、正規の言葉を使うよりも計算上の観点から、 。

これらの推奨事項の問題点は、「パスワードの使用が急増し、パスワード要件がますます複雑になり、ほとんどのユーザーに非現実的な要求を課す」と述べている英国国立サイバーセキュリティセンター(NCSC)が指摘しています。必然的に、ユーザーは「パスワードの過負荷」に対処するために、独自の対処メカニズムを考案します。これには、パスワードを書き留めたり、異なるシステム間で同じパスワードを再使用したり、シンプルで予測可能なパスワード作成戦略を使用することが含まれます。

この時点で、2013年にGoogleは人々のパスワードを少しずつ研究し、ほとんどの人がパスワードスキームで次のいずれかを使用していることに気付きました。ペット、家族、パートナーの名前または誕生日。記念日またはその他の重要な日付。出生地;お気に入りの休日。好きなスポーツチームと何か関係があります。そして、不可解な、単語のパスワード...

したがって、結論として、ほとんどの人は、ハッカーが簡単にアクセスできる情報に基づいてパスワードを選択します。パスワードは、パスワードを解読するブルートフォースアルゴリズムを比較的簡単に作成することができます。

ありがたいことに、あなたがパスワードを設定するためにWill Huntingの最高の印象をまだ必要としているシステムの偏在性からそれを知ることはできませんが、ほとんどのセキュリティアドバイザリーエンティティはここ数年で大幅に推奨を変更しました。

たとえば、前述のNCSCでは、システム管理者は、システム内に既知のパスワード違反がない限り、「これはユーザーに負担をかける(誰が新しいパスワードを選択する可能性が高いのか実際のメリットはない」と述べている。さらに、「定期的なパスワードは、セキュリティを向上させるのではなく、悪影響を及ぼす...」と指摘している。

物理学者であり、コンピュータサイエンティストであるサリー大学のアラン・ウッドワード博士は、「よくパスワードを変更するように求めているのは、通常は選択するパスワードが弱い」と指摘している。

同様に、一般的なパスワード要件の長さで完全にランダムな文字セットであっても、さらなるセキュリティ対策を講じることなく無差別攻撃に比較的敏感です。そのため、国立標準技術研究所でも同様に推奨事項が更新され、長時間で簡単なパスワードに重点を置くよう管理者に促されています。

例えば、 "私のパスワードは覚えやすいです"のようなパスワードは、一般的に "[email protected] @ m3!1"または "* ^ sg5!J8H8 * @#!^ "

もちろん、このようなフレーズを使用すると、覚えやすいものになりますが、データベースがハッキングされているような主要サービスがあるように見える週刊誌の問題を回避することはできません。最近のEquifaxハックのように、米国で1億4550万人に見られるような個人データとパスワードの保存には、氏名、社会保障番号、生年月日、住所などの個人情報が公開されています。 (池を渡って、Equifaxはまた約1500万人の英国市民が違反に盗まれた記録を持っていることに気づいた。)

Scherrにパスワードファイルの印刷を要求した最初のパスワードハックの陰謀で、匿名のコンピュータセキュリティ専門家が語ったように、パスワードファイルを膨大な量の個人データEquifaxストアにアクセスすることが判明した マザーボード「あなたがしなければならなかったのは検索用語に入れられ、何百万もの結果をウェブアプリケーションを介して平文でただちに取得することでした」

うん...

このようなことから、National Cyber​​ Security Centerでは、管理者が異なるシステムで異なるパスワードを使用する可能性を高めるために、パスワード管理ソフトウェアを使用するように管理者に勧めるようになりました。

結局のところ、上記の有名な暗号化技術者のロバート・モリスが書いたコンピュータ・セキュリティの3つの黄金のルールに私たちをもたらしたシステムは、どんなにうまく設計されていても完全に安全になることはありません。電源を入れないでください。それを使用しないでください。

ボーナスファクト:

  • 一般にすべてのパスワードで保護されている様々な企業のサーバにオンラインで保存されている時代に、ロンドン大学は最近の調査で、約10%の人々が現在共通のパスワードのリストを自分の意志に入れている彼らが死んだら、人々は自分のデータとアカウントにアクセスできます。興味深いことに、実際にこれをやっていない人々の問題は、9/11の攻撃後に大きな問題を引き起こしたと言われています。たとえば、Cantor Fitzgeraldの幹部であるHoward Lutnickは、攻撃で死亡した約700人の従業員のパスワードを追跡しなければならないという、ややこしい課題を指摘しました。同社が夕方の債券市場が始まる前にすぐにファイルにアクセスすることがいかに重要であったかで、彼と彼のスタッフは愛する人に電話をかけてパスワードを要求しなければならなかったか、 ...ありがたいことに、同社では、従業員のパスワードの大半はBill Burrの「J3r3my!」という前述の誤った推奨に基づいていました。これは、Lutnickが収集した愛する人の特定の個人情報と組み合わされて、マイクロソフトが派遣したチームが、未知のパスワードを短期間で無差別に簡単に解読することを可能にしました。

コメントを残します