من الذي اخترع كلمات مرور الكمبيوتر؟

2024 مؤلف: Sherilyn Boyd | [email protected]. آخر تعديل: 2024-01-16 10:18

فَأَخَذَ الْجِلْعَادِيُّونَ مَرَاتَاتِ الأُرْدُنَّ أَمَامَ أَفْرَايِمِيِّينَ ، وَكَانَ ذلِكَ أَنَّ الَّذِينَ هُمْ أَفْرَايِمِيُّونَ الَّذِينَ هُمُوا فَقَالُوا: «لِيَذْهَبْنِي. فقال له رجال جلعاد هل انت افرايمتي. إذا قال ، لا

فَقَالَوا لَهُ: «قُلْ الآنَ شَبُولُثَ وَقَالَ: سَبُولُثُ ، لأَنَّهُ لاَ يَقْدِرُ أَنْ يُعْلِمَهُ. ثم أخذوه ، وقتلوه في ممرات الأردن …

إعادة توجيه سريع قليلاً في التاريخ ومن المعروف أن الفيلق الروماني استخدم نظامًا بسيطًا من عبارات المرور لتمييز ما إذا كان الغريب صديقًا أم عدوًا. في القرن الثاني قبل الميلاد ، وصف المؤرخ اليوناني بوليبيوس بالتفصيل كيف يعمل نظام كلمة المرور من حيث التأكد من أن الجميع يعرف ما هي كلمة المرور الحالية:

… من ال 10 من كل طبقة من فرسان المشاة والفرسان ، والمساندة التي نزلت في الطرف الأدنى من الشارع ، يتم اختيار الرجل الذي يعفى من الحراسة ، ويحضر كل يوم عند غروب الشمس في خيمة المنبر ويستلم منه شعار - وهو لوح خشبي بكلمة مكتوبة عليه - يأخذ إجازته ، وعند عودته إلى مقره يمر على شاشة العرض والكمبيوتر اللوحي قبل الشهود إلى قائد التلميذ التالي ، الذي يمر بدوره إلى الشخص التالي له. كلهم يفعلون الشيء نفسه حتى يصل إلى أول التلاعب ، أولئك الذين نزلوا بالقرب من خيام المدرجات. هذه الأخيرة ملزمة بتسليم اللوح إلى الحواجز قبل حلول الظلام. حتى إذا تم إرجاع جميع أولئك الذين تم إصدارهم ، فإن المحقق يعلم أن كلمة المراقبة قد تم إعطاؤها لجميع التلاعبات ، وقد مرت كل شيء في طريق عودته إليه. إذا كان أي واحد منهم مفقودًا ، فإنه يقوم بالتحقيق مرة واحدة ، كما يعلم من خلال علامات ما لم يعد به الجهاز اللوحي ، وأي شخص مسؤول عن الوقف يفي بالعقوبة التي يستحقها.

يذكر المؤرخ الروماني Suetonius حتى قيصر باستخدام تشفير بسيط والذي يتطلب من المستلم معرفة مفتاح ، في هذه الحالة العدد الصحيح من المرات لتحويل الحروف الأبجدية ، لفك الرسالة.

أما بالنسبة إلى الأزمنة الحديثة ، فقد تم تنفيذ أول مثال معروف لنظام كلمات المرور على الكمبيوتر الإلكتروني من قبل أستاذ متقاعد في علوم الكمبيوتر في معهد ماساتشوستس للتكنولوجيا ، فرناندو كورباتو. في عام 1961 ، كان لدى معهد ماساتشوستس للتكنولوجيا حاسوب عملاق للمشاركة في الوقت يسمى نظام تقاسم الوقت المتوافق (CTSS). يقول كورباتو في مقابلة عام 2012: "المشكلة الرئيسية [مع CTSS] هي أننا كنا نعد طرفيات متعددة ، والتي سيتم استخدامها من قبل عدة أشخاص ولكن مع كل شخص لديه مجموعة ملفاته الخاصة. يبدو أن وضع كلمة مرور لكل مستخدم على حدة بمثابة حل بسيط جدًا ".

شيء يجب أن نذكره قبل المتابعة هو أن كوربوتا مترددة في الاعتماد على كونها أول من ينفذ نظام كلمة مرور الكمبيوتر. ويقترح أن جهازًا تم بناؤه في عام 1960 من قِبل شركة IBM كان يسمى بيئة الأبحاث التجارية شبه الأوتوماتيكية (Sabre) ، والتي كانت (ولا تزال في صورة مطورة) المستخدمة في صنع وصيانة حجوزات السفر ، وربما استخدمت كلمات مرور. ومع ذلك ، عندما تم الاتصال بشركة IBM حول هذا ، لم تكن متأكدة إذا كان النظام لديه في الأصل أي مثل هذا الأمن. وبما أنه لا يوجد لدى أي شخص أي سجل ناجح عما إذا كان قد حصل بالفعل ، فإن كورباتو يبدو أنه عالمياً على أنه أول من وضع مثل هذا النظام على الكمبيوتر الإلكتروني.

بطبيعة الحال ، هناك مشكلة مع كلمات المرور الأولية الأولية هذه هي أنها كانت مخزنة جميعها بنص عادي على الرغم من الفجوة الأمنية الهائلة التي يقدمها.

على هذه الملاحظة ، في عام 1962 ، تمكن طالب دكتوراه يدعى ألان شير من الحصول على CTSS لطباعة جميع كلمات مرور الكمبيوتر. ملاحظات شر ،

كانت هناك طريقة لطلب طباعة الملفات دون اتصال ، عن طريق إرسال بطاقة مثقبة مع رقم الحساب واسم الملف. في وقت متأخر من ليلة الجمعة ، قدمت طلبًا لطباعة ملفات كلمة المرور ، وفي وقت مبكر جدًا من صباح السبت ، ذهبت إلى خزانة الملفات حيث تم وضع المطبوعات … يمكنني بعد ذلك مواصلة سرقة وقت الماكينة.

ببساطة كانت هذه "السرقة" تحصل على أكثر من أربع ساعات من وقت الكمبيوتر اليومي المخصص الذي تم منحه له.

ثم شارك Scherr قائمة كلمات المرور لتشويش مشاركته في مغلاق البيانات. ظن مسؤولو النظام في ذلك الوقت ببساطة أنه يجب أن يكون هناك خلل في نظام كلمة المرور في مكان ما ولم يتم القبض على Scherr. نحن نعلم فقط أنه كان مسؤولاً لأنه اعترف بعد نصف قرن تقريباً بأنه هو من فعل ذلك. جعل هذا الخرق القليل من البيانات أول شخص معروف لسرقة كلمات مرور الكمبيوتر ، وهو الأمر الذي يبدو رائد الكمبيوتر فخورًا به اليوم.

فرحانًا ، وفقًا لـ Scherr ، في حين استخدم بعض الأشخاص كلمات المرور للحصول على مزيد من الوقت على الجهاز لتشغيل عمليات المحاكاة وما شابه ، قرر آخرون استخدامها لتسجيل الدخول إلى حسابات الأشخاص الذين لم يعجبهم مجرد ترك رسائل مهينة.الأمر الذي يثبت فقط أنه على الرغم من أن أجهزة الكمبيوتر قد تغيرت كثيرًا في نصف القرن الماضي ، إلا أن الناس لم يكونوا على يقين من ذلك.

على أي حال ، بعد حوالي 5 سنوات ، في عام 1966 ، واجهت CTSS مرة أخرى خرقا هائلا للبيانات عندما قام مسؤول عشوائي باختلاط الملفات التي عرضت رسالة ترحيب لكل مستخدم وملف كلمة المرور الرئيسية … هذا الخطأ رأى كل كلمة مرور مخزنة على الجهاز الذي يتم عرضه لأي مستخدم حاول تسجيل الدخول إلى CTSS. في ورقة تذكارية للذكرى السنوية الخمسين لمهندس CTSS ، ذكر توم فان فليك باعتزاز كلمة "حادث كلمة المرور" ولاحظ بذكاء: "حدث هذا بطبيعة الحال في الساعة 5 مساءً يوم الجمعة ، واضطررت إلى قضاء عدة ساعات غير مُعدَلة لتغيير كلمات مرور الأشخاص".

كطريقة للالتفاف حول مشكلة كلمة مرور النص العادي بالكامل ، أنشأ Robert Morris نظام تشفير أحادي الاتجاه لـ UNIX جعله على الأقل نظريًا حتى لو تمكن شخص ما من الوصول إلى قاعدة بيانات كلمات المرور ، فلن يكون بمقدوره معرفة ما أي من كلمات المرور كانت. بالطبع ، مع التقدم في قوة الحوسبة والخوارزميات الذكية ، كان لابد من تطوير المزيد من أنظمة التشفير الذكية … وما زالت المعركة بين خبراء الأمن القبعات البيضاء والسوداء تدور رحاها منذ ذلك الحين.

وقد أدى ذلك كله إلى قيام بيل غيتس بالإشارة بشكل مشهور في عام 2004 ، "[كلمات المرور] لا تفي بالتحدي لأي شيء تريده حقًا".

وبطبيعة الحال ، لا يمثل الثغرة الأمنية الأكبر عمومًا الخوارزميات والبرامج المستخدمة ، ولكن المستخدمين أنفسهم. وبصفته مبتكرًا لـ XKCD ، راندال مونرو ، قال ذلك مرةً مؤثرةً: "خلال 20 عامًا من الجهد ، نجحنا في تدريب الجميع على استخدام كلمات مرور يصعب على البشر تذكرها ، ولكن يسهل على أجهزة الكمبيوتر تخمينها".

في هذه الملاحظة لتدريب الأشخاص على كتابة كلمات المرور السيئة ، يمكن إرجاع اللوم إلى ذلك إلى التوصيات المنتشرة على نطاق واسع من قِبل المعهد الوطني للمعايير والتكنولوجيا ، والذي تم نشره في صفحة تحويل الصفحات الذي كان مؤلفًا من ثماني صفحات من النشر الخاص NIST 800-63. التذييل ألف ، كتبه بيل بور في عام 2003.

من بين أمور أخرى ، أوصى Burr باستخدام الكلمات ذات الأحرف العشوائية المستبدلة ، بما في ذلك الأحرف والأرقام الكبيرة المطلوبة ، وأن مدراء النظام قد قاموا بتغيير الأشخاص لكلمات المرور الخاصة بهم بشكل منتظم لأقصى درجات الأمان…

من هذه التوصيات المعتمدة على ما يبدو عالميا ، وقد ذكر المتقاعد الآن بور في مقابلة مع وول ستريت جورنال، "الكثير مما فعلته أنا الآن نأسف …"

لكي نكون منصفين لبر ، فإن الدراسات المتعلقة بجانب علم النفس البشري من كلمات المرور كانت غير موجودة إلى حد كبير في الوقت الذي كتب فيه هذه التوصيات ، ومن الناحية النظرية بالتأكيد كانت اقتراحاته على الأقل أكثر أمانًا من منظور الحوسبة أكثر من استخدام الكلمات العادية.

وقد أشار المركز الوطني البريطاني للأمن الإلكتروني (NCSC) إلى المشكلة المتعلقة بهذه التوصيات ، حيث يقول: "إن انتشار استخدام كلمة المرور ، ومتطلبات كلمة المرور المعقدة بشكل متزايد ، يضع طلبًا غير واقعي على معظم المستخدمين. حتمًا ، سيضع المستخدمون آليات التكيف الخاصة بهم للتعامل مع "تحميل كلمة المرور". ويشمل ذلك تدوين كلمات المرور ، وإعادة استخدام كلمة المرور نفسها عبر أنظمة مختلفة ، أو باستخدام إستراتيجيات إنشاء كلمات المرور البسيطة والمتوقعة."

حتى هذه اللحظة ، في عام 2013 ، أجرت Google دراسة سريعة سريعة حول كلمات مرور الأشخاص ولاحظت أن معظم الأشخاص يستخدمون أحد ما يلي في نظام كلمات المرور: اسم أو تاريخ ميلاد حيوان أليف أو فرد من العائلة أو شريك ؛ ذكرى سنوية أو أي تاريخ مهم آخر ؛ مسقط. العطلة المفضله؛ شيء يجب القيام به مع فريق رياضي المفضل. و ، لا يمكن تفسيره ، كلمة السر …

لذا ، فإن معظم الناس يختارون كلمات السر التي تعتمد على المعلومات التي يسهل على المتسللين الوصول إليها ، والذين بدورهم يستطيعون بسهولة إنشاء خوارزمية قوة مطلقة لكسر كلمة المرور.

لحسن الحظ ، في حين أنك قد لا تعرف ذلك من كل مكان وجود الأنظمة التي لا تزال تتطلب منك أن تقوم بعمل انطباعك الأفضل عن Will Hunting لتحديد كلمة مرور ، فإن معظم الكيانات الاستشارية الأمنية قد غيرت توصياتها بشكل كبير في السنوات القليلة الماضية.

على سبيل المثال ، يوصي الآن NCSC الآنف الذكر ، من بين أمور أخرى ، توقف مسؤولي النظام عن جعل الناس يغيرون كلمات المرور ما لم يكن هناك خرق كلمة مرور داخل النظام كما هو ، "هذا يفرض أعباءً على المستخدم (من المحتمل أن يختار كلمات مرور جديدة فقط اختلافات طفيفة من القديم) ولا تحمل أي فوائد حقيقية … "مع ملاحظة أن الدراسات أظهرت أن" تغيير كلمة المرور العادية يؤدي إلى الإضرار بالأمان بدلاً من تحسين الأمان …"

أو كما لاحظ الفيزيائيون وعالم الكمبيوتر الملاحظ الدكتور آلان وودوارد من جامعة سوراي ، "كلما تطلبت أكثر من شخص تغيير كلمة المرور الخاصة به ، كلما أضعف كلمات المرور التي يختارونها عادة".

وبالمثل ، فإن مجموعة الأحرف العشوائية تمامًا في أطوال متطلبات كلمة المرور المعتادة تكون عرضة لهجمات القوة الغاشمة دون اتخاذ تدابير أمنية إضافية. على هذا النحو ، قام المعهد الوطني للمعايير والتكنولوجيا بتحديث توصياته ، حيث يقوم الآن بتشجيع المدراء على تركيز الناس على كلمات مرور طويلة ، لكنها بسيطة.

على سبيل المثال ، كلمة المرور مثل "كلمة المرور سهلة التذكر". ستكون عمومًا أوامر بأحجام أكثر أمانًا من "[email protected] @ m3! 1" أو حتى "* ^ sg5! J8H8 * @ #! ^"

وبالطبع ، في حين أن استخدام مثل هذه العبارات يجعل من السهل تذكر الأشياء ، فإنه لا يزال لا يتفادى مشكلة الظهور الأسبوعي لبعض الخدمات الرئيسية التي تم اختراق قاعدة بياناتها ، حيث تستخدم الأنظمة المذكورة أحيانًا التشفير الضعيف أو حتى بدونه على الإطلاق في تخزين البيانات الخاصة وكلمات المرور ، مثل اختراقات Equifax الأخيرة التي شهدت 145.5 مليون شخص في الولايات المتحدة تعرض بياناتهم الشخصية ، بما في ذلك الأسماء الكاملة وأرقام الضمان الاجتماعي وتواريخ الميلاد والعناوين. (عبر البركة ، لاحظت Equifax أيضًا أن 15 مليون مواطن بريطاني سُجلت سجلاتهم في الخرق أيضًا.)

في ظلال أول كلمة مرور من نوعه تم ذكرها سابقًا والتي تطلبت من Scherr أن تطبع ملف كلمة المرور فقط ، اتضح أن بإمكانك الوصول إلى الكم الهائل من البيانات الشخصية التي يخزنها Equifax على الأشخاص ، اللوحة الأم"تم وضع كل ما كان عليك القيام به في عبارة بحث والحصول على ملايين النتائج ، على الفور فقط - في النص الواضح ، من خلال تطبيق ويب."

نعم …

وبسبب هذا النوع من الأشياء ، يوصي المركز القومي للأمن الإلكتروني الآن أيضًا المشرفين بتشجيع الأشخاص على استخدام برنامج إدارة كلمات المرور من أجل المساعدة في زيادة احتمال استخدام الأشخاص كلمات مرور مختلفة لأنظمة مختلفة.

في النهاية ، لن يكون أي نظام آمنًا في أي وقت ، بغض النظر عن مدى تصميمه بشكل جيد ، مما يجعلنا نصل إلى القواعد الذهبية الثلاثة لأمن الكمبيوتر ، والتي كتبها الكاتب الشهير روبرت موريس: "لا تملك جهاز كمبيوتر ؛ لا تشغلها ؛ ولا تستخدمها."

حقيقة المكافأة:

في عصر حياة كل شخص يتم تخزينه على الإنترنت على خوادم الشركات المختلفة - بشكل عام محمي بكلمات المرور ، أشارت جامعة لندن في دراسة حديثة أن حوالي 10٪ من الأشخاص يضعون الآن قائمة بكلمات المرور الشائعة في إرادتهم بالتأكيد يمكن للأشخاص الوصول إلى بياناتهم وحساباتهم بعد وفاتهم. ومن المثير للاهتمام أن مشكلة الأشخاص الذين لا يفعلون ذلك في الواقع تلاحظ أنها تسببت في مشكلة كبيرة بعد هجمات 11 سبتمبر. على سبيل المثال ، أشار هوارد لوتنيك ، وهو مسؤول تنفيذي لمرة واحدة في كانتور فيتزجيرالد ، إلى مهمته التي لا تحسد عليها إذ أنه اضطر إلى تعقب كلمات المرور الخاصة بنحو 700 موظف ماتوا في الهجوم. بسبب مدى أهمية وصول الشركة لملفاتها مباشرة قبل فتح أسواق السندات المسائية ، كان عليه هو وموظفوه الاتصال بأحبائهم من الموتى لطلب كلمات المرور أو ما قد تكون كلمات المرور في نفس اليوم. … لحسن الحظ بالنسبة للشركة ، فإن معظم كلمات المرور الخاصة بالموظفين كانت مبنية على التوصيات المعيبة المذكورة أعلاه من قبل Bill Burr- مجموعة "J3r3my!". هذا ، إلى جانب المعلومات الشخصية المحددة من أحبائهم Lutnick التي تم جمعها ، سمحت لفريق ارسلت من قبل مايكروسوفت لكسر بسهولة نسبيا كلمات المرور عن طريق القوة الغاشمة في وقت قصير.