至少和人類一直在記錄歷史一樣,類似於密碼的東西似乎已被使用。例如,最早提到密碼這樣的事物在法官書中有提到,它在公元前六世紀或公元前七世紀首次被記錄下來。
據瞭解,快速前進和羅馬軍團已經使用一個簡單的密碼系統來辨別陌生人是朋友還是敵人。公元前2世紀,希臘歷史學家Polybius甚至詳細描述了密碼系統如何確保每個人都知道當前密碼是什麼。
羅馬歷史學家Suetonius甚至使用一種簡單的密碼來提到凱撒,它要求接收者知道一個密鑰,在這種情況下,需要正確的次數來移動字母表,以解密信息。
至於更現代的時候,美國麻省理工學院計算機科學退休教授FernandoCorbato實現了電子計算機上第一個已知的密碼系統實例。1961年,麻省理工學院有一臺巨型分時計算機,稱為兼容時分系統(CTSS)。Corbato在2012年的一次採訪中將陳述:“CTSS的關鍵問題是我們設立了多個終端,供多人使用,但每個人都有自己的私人文件集。將每個用戶的密碼作為鎖定似乎是一個非常簡單的解決方案。“
在繼續之前我們應該提到的一點是,科爾博塔在第一個實施計算機密碼系統方面猶豫不決。他建議IBM於1960年建立的一種設備稱為半自動業務研究環境(Sabre),該設備曾用於製作和維護旅行預訂(並且仍處於升級狀態),可能使用了密碼。然而,當IBM聯繫到這一點時,他們不確定系統最初是否具有這種安全性。由於沒有人記錄它是否存在,科爾巴託似乎普遍被視為第一個將這樣的系統放在電子計算機上的功勞。
當然,這些早期的原始密碼存在一個問題,即使這個引入了嚴重的安全漏洞,它們仍然以純文本形式存儲。
在那張照片上,1962年,一位名為AllanScherr的博士生設法讓CTSS打印出所有電腦的密碼。謝爾注意到,這個“盜竊罪”只是獲得了超過他被授予的每日計算機時間的四小時。
Scherr隨後分享了密碼列表以混淆他參與數據膛線的情況。當時的系統管理員簡單地認為密碼系統中肯定存在一個錯誤,Scherr從未被發現。我們只知道他是負責任的,因為他差不多半個世紀後怯懦地承認,那是他做的。這個小小的數據洩露讓他成為第一個竊取電腦密碼的人,這個電腦先驅似乎今天非常自豪。
根據Scherr的說法,有趣的是,有些人使用密碼獲得更多時間在機器上運行模擬等,但其他人卻決定使用它們登錄他們不喜歡的人的賬戶,只留下侮辱性消息。這只是表明,雖然電腦在過去的半個世紀裡可能發生了很大變化,但人們肯定沒有。
無論如何,大約5年之後,在1966年,當隨機管理員意外地混淆向每個用戶顯示歡迎消息的文件和主密碼文件時,CTSS再次遭遇大規模數據洩露...這個錯誤看到每個密碼都存儲在該機器將顯示給任何嘗試登錄CTSS的用戶。
為解決整個明文密碼問題的一種方法,安全專家為UNIX創建了一個單向加密系統,即使有人可以訪問密碼數據庫,它至少在理論上也是如此,但他們無法分辨出什麼任何密碼都是。當然,隨著計算能力和聰明的算法的進步,更加聰明的加密方案不得不被開發出來......白色和黑帽安全專家之間的爭鬥從此一直在發生。
這一切都促成了比爾蓋茨在2004年的著名言論,“[密碼]只是沒有遇到任何你真正想要保護的挑戰。”
當然,最大的安全漏洞一般不是所使用的算法和軟件,而是用戶本身。每個人使用難以讓人記住的密碼,但計算機很容易猜到。
除此之外,Burr還建議使用隨機字符替換字,包括需要大寫字母和數字,並且系統管理員會定期更改密碼以獲得最大的安全性。
為了公平地對待Burr,關於密碼的人類心理學方面的研究在撰寫這些建議時基本上是不存在的,並且在理論上當然他的建議從計算角度來看應當比使用常規詞語稍微安全得多。
英國國家網絡安全中心(NCSC)指出,這些建議的問題在於,“密碼使用的這種擴散以及日益複雜的密碼要求對大多數用戶提出了不切實際的要求。用戶將不可避免地設計自己的應對機制來應對“密碼過載”。這包括寫下密碼,在不同系統中重複使用相同的密碼,或使用簡單且可預測的密碼創建策略。“
到目前為止,Google在2013年對人們的密碼進行了一項快速研究,並注意到大多數人在其密碼方案中使用了以下內容之一:寵物,家庭成員或合作伙伴的姓名或生日;週年紀念日或其他重要日期;出生地;最喜歡的節日與最喜歡的運動隊有關;和莫名其妙的,密碼這個詞...
所以,最重要的是,大多數人選擇基於黑客易於訪問的信息的密碼,然後他們可以相對容易地創建蠻力算法來破解密碼。
例如,除了別的以外,上述NCSC現在建議系統管理員停止讓人們更改密碼,除非在系統內存在已知的密碼破壞,例如“這給用戶帶來了負擔(誰可能選擇新密碼舊的微小變化),並沒有真正的好處......“進一步指出,研究表明,”定期更換密碼可能會傷害而不是提高安全性......“
或者作為物理學家,薩里大學的計算機科學家艾倫伍德沃德博士指出,“你要求某人更改密碼的次數越多,他們通常選擇的密碼越弱。”
類似地,即使是典型的密碼要求長度的完全隨機的字符集也相對容易受到暴力攻擊,而沒有進一步的安全措施。因此,美國國家標準與技術研究院也同樣更新了他們的建議,現在鼓勵管理員讓人們把注意力集中在漫長而簡單的密碼上。
例如,像“我的密碼很容易記住”的密碼通常比“D@ught3rsN@m3!1”更安全,甚至“*^sg5!J8H8*@#!^”
當然,使用這些短語可以讓事情變得容易記憶,但它仍然沒有解決某些主要服務每週看似數據庫遭到黑客攻擊的問題,這些系統有時使用弱加密,甚至完全沒有存儲私人數據和密碼,例如黑客攻擊,美國有1.455億人暴露了他們的個人數據,包括全名,社會安全號碼,出生日期和地址。
由於這種事情,國家網絡安全中心現在還建議管理員鼓勵人們使用密碼管理器軟件,以幫助提高人們使用不同密碼的可能性,以適應不同系統。
最後,無論系統如何精心設計,都不會有完全安全的系統,從而使我們接受上述著名的密碼學家羅伯特莫里斯編寫的計算機安全的三條金科玉律:“不需要計算機,不要啟動它,不要使用它。“(黑客週刊)
閱讀更多 IT八卦陣 的文章
