В концепции паролей нет ничего нового. На самом деле, они существовали веками. До того, как Hotmail, Skype и Netflix предлагали Вам создать надежный код с броским именем пользователя, римляне предположительно использовали пароли для передачи важных военных сообщений между войсками.
По сути, это был простой способ защиты информации. Перенесемся на несколько тысячелетий вперед и обратимся к Фернандо Корбато.
Широко известный как крестный отец современного компьютерного пароля, он познакомился с компьютерной наукой в 1960 году во время работы в Массачусетском технологическом институте (МТИ).
Университет разработал огромную электронно-вычислительную систему с разделением времени (CTSS), к которой имели доступ все исследователи. Общий доступ был предоставлен к одному мейнфрейму и одному файлу на диске.
Чтобы обеспечить конфиденциальность отдельных файлов, была разработана концепция пароля, согласно которой пользователи могли получать доступ только к своим собственным файлам на четыре часа в неделю — ведь время пользования компьютером в 60-ых годах было еще ограничено.
И хотя пароли еще не были совершенным решением, Корбато был первым среди тех, кто признал, , что у этого метода безопасности есть будущее, как при личном, так и при корпоративном использовании благодаря его простоте (хотя позднее именно это будет приводиться в качестве одного из недостатков).
Хеширование, соль и криптология
На заре развития вычислительной техники использование паролей в этом смысле было на самом деле ограничено, в основном учеными, как Корбато и его команда, которые одними из первых занимались исследованием мощью компьютерной техники.
Однако по мере взрывообразного развития Всемирной паутины в 1990-х годах, все больше людей стали регулярно пользоваться Интернетом, создавая попутно большой объем конфиденциальной информации.
Но еще до того, как Интернет начал работать по полной программе, компьютерщики начали трудиться над повышением безопасности паролей. Для этого компьютерная наука позаимствовала принципы у криптологии.
Работая в 70-е годы в Bell Labs, криптограф Роберт Моррис разработал «хеширование» — процесс, в ходе которого строка символов преобразуется в числовой код, который представляет собой исходную фразу.
Хеширование использовалось в ранних операционных системах UNIX, которые широко используются сегодня во всем мире в мобильных устройствах и рабочих станциях. MacOS Apple, например, использует UNIX, а PlayStation 4 работает на ОС Orbis, операционной системе на базе UNIX-а.
Добавляя еще один уровень безопасности, современные базы данных используют модификатор (соль) для более сложного шифрования пароля, в результате чего в хешированный пароль вставляются случайные данные.
Конечно же, это не помешает подбору простого пароля: основная цель заключается в том, чтобы предотвратить взлом и использование утраченного одного или нескольких паролей (например, в случае взлома базы данных).
Но в те времена, когда Корбато придумал концепцию пароля, безопасность не представляла собой проблемы такой большой важности; взлом в современном его понимании впервые появился не ранее 80-ых годов.
Сейчас все иначе: почти все работает онлайн.
Начиная с банковских услуг и покупок и заканчивая телевидением и музыкой, мы бережно храним все наши данные в виде последовательности цифр и букв. Но безопасно ли это? Даже такие крупные компании, как eBay и LinkedIn в последние годы не могли, да и не могут обеспечить безопасность паролей своих пользователей в принципе.
Плюсы и минусы паролей
Существует несколько насущных проблем с паролями. Во-первых, существует мнение, что короткие пароли легче запомнить, но их легче и подобрать. Во-вторых, длинные пароли сложно взломать, но их труднее запомнить.
Хранить несколько разных паролей тоже может быть сложно. Только подумайте, сколько учетных записей в Интернете может быть у обычного человека: Интернет-банк, личная электронная почта, iTunes, Skype, Amazon … этот список можно продолжать долго.
Это привело к тому, что многие люди используют один или два пароля для всех записей. Разумеется, это большая проблема: если кто-то вычислит этот пароль, то у него будет доступ ко всему.
Другой вопрос — выбор самого пароля. К большому удивлению, по данным SplashData, огромное количество людей до сих пор использовало “password” или “123456” в качестве пароля к своей конфиденциальной информации — то есть киберпреступникам даже не придется тратить усилий или времени на взлом такого кода.
Пароль мертв…. Да здравствует пароль
Разумеется, пароли обеспечивают определенный уровень безопасности, и несмотря на то, что Билл Гейтс еще в 2004 году сказал, что пароли мертвы,большинство компаний, имеющих онлайн-порталы, до сих пор используют их.
Так как Вы можете повысить безопасность паролей? Существует несколько вариантов.
В рамках Всемирного дня паролей,начинания, направленного на повышение надежности паролей, выдвинуто предложение об использовании собственного уникального пароля для каждой учетной записи, чтобы избежать самой сути проблемы.
Решающее значение также имеет, в первую очередь, создание надежных паролей. Как правило, лучше всего работают коды, в которых используются слова и числа, отсутствует очевидная личная информация и которые состоят из восьми и более символов.
Для повышения безопасности пользователи также могут воспользоваться «стратегией секретного кода» или использовать двухфакторную проверку подлинности, в которой пароль является только первый шагом в получении доступа к конфиденциальной информации.
«Три золотых правила для обеспечения безопасности компьютера: не иметь компьютер, не включать компьютер, не пользоваться компьютером.»
Если вся эта история с паролями кажется Вам слишком сложной, Вы можете позаимствовать идеи у бывшего криптографа Роберта Морриса. Помимо изложенных выше советов, у него было несколько необычное предложение по компьютерной безопасности:
«Три золотых правила для обеспечения безопасности компьютера: не иметь компьютер, не включать компьютер, не пользоваться компьютером.
Возможно, это крайность…
Источник: WeLiveSecurity
