Quem inventou senhas de computador?

Quem inventou senhas de computador?

Algo parecido com as senhas aparentemente foram usadas pelo menos enquanto os humanos têm registrado a história. Por exemplo, uma das primeiras referências a algo como uma senha é mencionada no Livro dos Juízes, que foi escrito pela primeira vez por volta do século VI ou VII aC. Especificamente, afirma em Juízes 12:

E os gileaditas tomaram as passagens do Jordão adiante dos efraimitas; e sucedeu que, quando os fugitivos, que se escapavam, disseram: Deixa-me passar; que os homens de Gileade lhe disseram: És tu efraimita? Se ele dissesse, não;

Disseram-lhe eles: Dizei agora a Sibolete: e disse Sibolete, porque não podia pronunciar-se corretamente. Então eles o pegaram e mataram nas passagens do Jordão ...

Avançando um pouco na história e os legionários romanos são conhecidos por terem usado um sistema simples de senhas para discernir se um estranho era amigo ou inimigo. Segundo século BC, o historiador grego Políbio até descreve em detalhes como o sistema de senhas funcionava em termos de garantir que todos soubessem qual era a senha atual:

… Do décimo manípulo de cada classe de infantaria e cavalaria, o manípulo que está acampado na extremidade inferior da rua, um homem é escolhido que é aliviado do dever de guarda, e ele assiste todos os dias ao pôr do sol na tenda da tribuna e recebendo dele a palavra de ordem - que é uma tábua de madeira com a palavra nela inscrita - despede-se e, ao voltar para seus aposentos, passa a palavra de ordem e a tabuleta diante de testemunhas do comandante do próximo manípulo, que por sua vez passa. para o próximo dele. Todos fazem o mesmo até chegar aos primeiros manípulos, aqueles acampados perto das tendas dos tribunos. Estes últimos são obrigados a entregar o comprimido às tribunas antes do anoitecer. De modo que, se todos os que foram emitidos forem devolvidos, o tribuno sabe que a palavra de ordem foi dada a todos os manípulos e passou por todos no caminho de volta para ele. Se algum deles estiver faltando, ele imediatamente faz uma pergunta, pois sabe pelas marcas de que quarteirão o tablete não voltou, e quem quer que seja responsável pela paralisação se encontra com a punição que ele merece.

O historiador romano Suetônio até menciona César usando uma simples cifra que exigia que o destinatário conhecesse uma chave, neste caso o número correto de vezes para mudar o alfabeto, para decifrar a mensagem.

Quanto aos tempos modernos, a primeira instância conhecida de um sistema de senhas em um computador eletrônico foi implementada pelo então professor aposentado de ciência da computação do Instituto de Tecnologia de Massachusetts, Fernando Corbato. Em 1961, o MIT tinha um computador gigante de compartilhamento de tempo chamado Sistema Compatível de Compartilhamento de Tempo (CTSS). Corbato declararia em uma entrevista de 2012: “O principal problema [com o CTSS] era que estávamos montando múltiplos terminais, que seriam usados ​​por várias pessoas, mas com cada pessoa tendo seu próprio conjunto particular de arquivos. Colocar uma senha para cada usuário como um bloqueio parecia uma solução muito simples ”.

Algo que devemos mencionar antes de continuar é que a Corbota está hesitante em receber o crédito por ser a primeira a implementar um sistema de senha de computador. Ele sugere que um dispositivo construído em 1960 pela IBM, chamado de Ambiente Semi-Automático de Pesquisa de Negócios (Sabre), que era (e ainda está em uma forma atualizada) usado para fazer e manter reservas de viagens, provavelmente usava senhas. No entanto, quando a IBM foi contatada sobre isso, eles não tinham certeza se o sistema tinha originalmente tal segurança. E como ninguém parece ter qualquer registro de sobrevivência, Corbato é aparentemente universalmente creditado por ser o primeiro a colocar esse sistema em um computador eletrônico.

É claro, um problema com essas primeiras senhas de protótipos é que todas elas foram armazenadas em texto simples, apesar do buraco de segurança que isso introduz.

Na mesma nota, em 1962, um estudante de doutorado chamado Allan Scherr conseguiu que o CTSS imprimisse todas as senhas do computador. Scherr observa

Havia uma maneira de solicitar que os arquivos fossem impressos off-line, enviando um cartão perfurado com o número da conta e o nome do arquivo. Tarde de uma sexta-feira à noite, eu enviei uma solicitação para imprimir os arquivos de senha e muito cedo no sábado de manhã fui para o arquivo onde as impressões foram colocadas ... Eu poderia continuar meu furto de tempo da máquina.

Esse "furto" estava simplesmente ganhando mais do que as quatro horas de tempo diário computacional que ele recebera.

Scherr então compartilhou a lista de senhas para ofuscar seu envolvimento na culatra de dados. Os administradores do sistema na época simplesmente acharam que deveria haver um bug no sistema de senha em algum lugar, e Scherr nunca foi pego. Nós só sabemos que ele foi responsável porque ele timidamente admitiu quase meio século depois que foi ele quem fez isso. Essa pequena violação de dados fez dele a primeira pessoa conhecida a roubar senhas de computador, algo que o pioneiro da computação parece ter muito orgulho hoje em dia.

De forma hilariante, segundo Scherr, enquanto algumas pessoas usavam as senhas para obter mais tempo na máquina para executar simulações e coisas do tipo, outras decidiram usá-las para fazer login nas contas de pessoas das quais não gostavam apenas para deixar mensagens ofensivas.O que serve para mostrar que, embora os computadores possam ter mudado muito no último meio século, as pessoas certamente não mudaram.

Em qualquer caso, cerca de 5 anos depois, em 1966, o CTSS mais uma vez experimentou uma enorme violação de dados quando um administrador aleatório acidentalmente misturou os arquivos que exibiam uma mensagem de boas-vindas para cada usuário e o arquivo de senhas mestre ... a máquina sendo exibida para qualquer usuário que tentou efetuar login no CTSS. Em um papel comemorativo do cinquentenário do engenheiro da CTSS, Tom Van Vleck, lembrou carinhosamente do “Incidente com a senha” e comentou brincando: “Naturalmente, isso aconteceu às 17 horas de uma sexta-feira e tive que passar várias horas não planejadas mudando as senhas das pessoas”.

Como forma de contornar todo o problema de senha em texto puro, Robert Morris criou um sistema de criptografia unidirecional para UNIX que pelo menos fazia isso em teoria, mesmo que alguém pudesse acessar o banco de dados de senhas, eles não seriam capazes de dizer qualquer uma das senhas eram. É claro que, com os avanços no poder da computação e algoritmos inteligentes, esquemas de criptografia ainda mais inteligentes tiveram que ser desenvolvidos ... e a batalha entre especialistas em segurança de chapéu branco e preto tem sido travada desde então.

Isso tudo levou Bill Gates a declarar em 2004 que “[as senhas] simplesmente não atendem ao desafio de qualquer coisa que você realmente deseja proteger”.

Naturalmente, a maior falha de segurança geralmente não são os algoritmos e softwares usados, mas os próprios usuários. Como famoso criador de XKCD, Randall Munroe, uma vez de forma tão pungente, "através de 20 anos de esforço, nós treinamos com sucesso todos para usar senhas que são difíceis de serem lembradas pelos humanos, mas fáceis para os computadores adivinharem."

Nesta nota de treinar pessoas para criar senhas ruins, a culpa por isso pode ser atribuída a recomendações amplamente divulgadas pelo Instituto Nacional de Padrões e Tecnologia, publicado na página de virada que foi a publicação especial de oito páginas NIST 800-63. Apêndice A, escrito por Bill Burr em 2003.

Entre outras coisas, Burr recomendou o uso de palavras com caracteres aleatórios substituídos, incluindo a exigência de letras maiúsculas e números, e que os administradores do sistema fizeram com que as pessoas mudassem suas senhas regularmente para segurança máxima…

Destas recomendações aparentemente universalmente adotadas, o agora aposentado Burr declarou em uma entrevista Wall Street Journal"Muito do que eu fiz agora me arrependo ..."

Para ser justo com Burr, os estudos sobre o aspecto da psicologia humana das senhas eram praticamente inexistentes no momento em que ele escreveu essas recomendações e, teoricamente, suas sugestões, no mínimo, deveriam ter sido um pouco mais seguras do ponto de vista computacional do que usar palavras regulares. .

O problema com essas recomendações é apontado pelo Centro Nacional de Segurança Cibernética Britânica (NCSC), que afirma que “essa proliferação de uso de senha e requisitos de senha cada vez mais complexos colocam uma demanda irreal na maioria dos usuários. Inevitavelmente, os usuários planejam seus próprios mecanismos de enfrentamento para lidar com a "sobrecarga de senha". Isso inclui anotar as senhas, reutilizar a mesma senha em diferentes sistemas ou usar estratégias simples e previsíveis de criação de senhas. ”

Até o momento, em 2013, o Google realizou um rápido estudo sobre as senhas das pessoas e observou que a maioria das pessoas usa um dos seguintes procedimentos em seu esquema de senhas: o nome ou aniversário de um animal de estimação, membro da família ou parceiro; um aniversário ou outra data significativa; berço; feriado favorito; algo a ver com um time favorito; e, inexplicável, a palavra senha ...

Assim, a maioria das pessoas escolhe senhas baseadas em informações que são facilmente acessíveis aos hackers, que podem criar um algoritmo de força bruta para quebrar a senha.

Felizmente, embora você possa não saber da onipresença de sistemas que ainda exigem que você faça sua melhor impressão de Will Hunting para definir uma senha, a maioria das entidades consultivas de segurança alterou drasticamente suas recomendações nos últimos anos.

Por exemplo, o acima mencionado NCSC recomenda agora, entre outras coisas, que os administradores de sistema parem de fazer as pessoas mudarem senhas a menos que haja uma quebra de senha conhecida no sistema como: “Isso impõe ônus ao usuário (que provavelmente escolherá novas senhas que são apenas pequenas variações do antigo) e não traz nenhum benefício real ... ”Além disso, observou que estudos mostraram que“ a mudança de senha regular prejudica em vez de melhorar a segurança… ”

Ou, como observa Physics e o famoso cientista da computação Dr. Alan Woodward, da Universidade de Surrey, “quanto mais você pede a alguém para mudar sua senha, mais fracas as senhas que normalmente escolhem”.

Da mesma forma, até mesmo um conjunto completamente aleatório de caracteres em comprimentos de requisitos de senha típicos é relativamente suscetível a ataques de força bruta sem outras medidas de segurança. Como tal, o Instituto Nacional de Padrões e Tecnologia também atualizou suas recomendações, agora incentivando os administradores a fazer com que as pessoas se concentrem em senhas longas, mas simples.

Por exemplo, uma senha como "Minha senha é bem fácil de lembrar" geralmente será mais segura do que "[email protected] @ m3! 1" ou mesmo "* ^ sg5! J8H8 * @ #! ^ "

É claro que, ao usar tais frases torna as coisas fáceis de lembrar, ainda não contorna o problema da ocorrência aparentemente semanal de algum serviço importante tendo seu banco de dados hackeado, com os sistemas às vezes usando criptografia fraca ou mesmo nenhum em seus armazenamento de dados e senhas privados, como o hack Equifax recente, que viu 145,5 milhões de pessoas nos EUA terem seus dados pessoais expostos, incluindo nomes completos, números de seguridade social, datas de nascimento e endereços. (Do outro lado da lagoa, a Equifax também observou que cerca de 15 milhões de cidadãos do Reino Unido tiveram seus registros roubados na violação também).

Em tons da primeira hack de senha mencionada anteriormente, que exigia que a Scherr pedisse que o arquivo de senha fosse impresso, acabou por ter acesso à grande quantidade de dados pessoais que a Equifax armazena nas pessoas, disse um especialista anônimo em segurança de computadores. Motherboard, "Tudo o que você precisava fazer era colocar um termo de pesquisa e obter milhões de resultados, instantaneamente - em texto não criptografado, por meio de um aplicativo da Web".

Sim…

Por causa desse tipo de coisa, o Centro Nacional de Segurança Cibernética também recomenda que os administradores incentivem as pessoas a usar o software gerenciador de senhas para ajudar a aumentar a probabilidade de as pessoas usarem senhas diferentes para sistemas diferentes.

No final, nenhum sistema jamais será totalmente seguro, não importa o quão bem projetado, nos levando às três regras de ouro da segurança do computador, escritas pelo célebre criptógrafo famoso Robert Morris: “não possua um computador; não ligue; e não use isso. ”

Fato Bônus:

  • Na era da vida de todo mundo sendo armazenada on-line em servidores de várias empresas, geralmente protegidos por senhas, a Universidade de Londres observou em um estudo recente que cerca de 10% das pessoas estão colocando uma lista de suas senhas comuns em seus testamentos. Certifique-se de que as pessoas possam acessar seus dados e contas depois de morrerem. Curiosamente, o problema de pessoas que não fazem isso, na verdade, é observado como tendo causado um grande problema após os ataques de 11 de setembro. Por exemplo, Howard Lutnick, um executivo de uma vez na Cantor Fitzgerald, observou sua tarefa pouco invejável de ter que rastrear as senhas de quase 700 funcionários que morreram no ataque. Devido à importância de a empresa ter acesso aos seus arquivos imediatamente antes da abertura dos mercados de títulos noturnos, ele e sua equipe tiveram que ligar para os entes queridos dos mortos para pedir as senhas ou quais seriam as senhas no mesmo dia. Felizmente para a empresa, a maioria das senhas dos funcionários se baseava nas já mencionadas recomendações falhas de Bill Burr - a variedade “J3r3my!”. Isso, em combinação com informações pessoais específicas dos entes queridos que Lutnick coletou, permitiu que uma equipe despachada pela Microsoft espalhasse com relativa facilidade as senhas desconhecidas pela força bruta em curto prazo.

Deixe O Seu Comentário