От «Сезам, откройся» до сложных генераторов: как развивались компьютерные пароли

31.07.2019      14220

12 июля на 94-м году жизни скончался изобретатель компьютерных паролей Фернандо Корбато. Как он пришел к концепции паролей, и какими они были на заре существования?

Пара слов о создателе паролей

После Второй мировой войны Корбато поступил в Caltech (Калифорнийский технологический институт). Здесь он получил степень бакалавра, а в 1950 году стал доктором физики в MIT (Массачусетском технологическом институте). Там Корбато стал профессором, но работал не только над паролями. Совместно с другими специалистами он занимался системами разделения времени и за эту работу удостоен Премии Тьюринга.

В честь Корбато назвали закон в информатике. Он утверждает, что количество строк, которые разработчик способен написать за фиксированное время, не зависит от языка программирования. Фактически закон Корбато стал толчком к развитию новых языков программирования. Инженеры перестали бояться создавать новые инструменты разработки – более удобные и эффективные для конкретных задач. 

Суровая необходимость

Основное назначение пароля – защита данных от несанкционированного доступа. Но изначально Корбато создавал их совсем по другой причине: чтобы несколько человек могли одновременно пользоваться компьютером. Система разделения времени CTSS, представленная в 1961 году, вводила многопользовательский режим на одном компьютере. При этом люди использовали разные терминалы: клавиатуры для ввода данных, мониторы или принтеры для получения результата. 

 

Фернандо Корбато

 

Чтобы авторизовать пользователя, система использовала команду LOGIN. Позднее вместе с логином стали запрашивать и пароль. Именно Корбато придумал, что секретная информация (пароль) должна использоваться в паре с открытой (логин, имя пользователя). Режим сократил время ответа компьютера в десятки раз. Он стал базой для Unix/Linux и других операционных систем. Но ОС развивались и менялись, а пароли оставались на месте. 

Развитие паролей

Хранить пароли в хеш-форме предложил Роберт Моррис. Он реализовал алгоритм crypt для ОС UNIX. Алгоритм использовал 12-битный ключ (salt). Чтобы изменить форму, crypt связывали с алгоритмом DES. В результате пароль было сложнее подобрать перебором по словарю. Безопасность системы повысилась на несколько порядков. 

Позднее для генерации паролей стали использовать стойкие хеши вроде MD5, SHA-1 от стандартных случайных последовательностей. Но пользователи все равно продолжали вводить комбинации вроде 123456 или qwerty. Тогда разработчики систем стали устанавливать правила для ввода паролей. К примеру, комбинация должна была содержать цифры, заглавные и строчные буквы, а также спецсимволы. Кроме того, пароли стали передавать по защищенным каналам с применением надежных алгоритмов шифрования. 

Спустя годы появились одноразовые пароли и системы двухфакторной авторизации. Сейчас параллельно применяются системы биометрической аутентификации. 

Отношение к изобретению

В последние годы жизни Корбато пересмотрел свое отношение к паролям. Он признался, что у его «детища» немало недостатков. Чем больше становится сервисов, тем больше паролей должен запоминать человек. Чтобы упростить себе задачу, пользователи задействуют одни и те же комбинации для разных сайтов. И когда один из сайтов взламывают, под угрозой оказываются и аккаунты на других ресурсах. Эксперты и крупные корпорации согласны с Корбато. Отпечаток пальца, сканирование радужной оболочки, авторизация по лицу или одноразовому коду – решения более сложные, но и более надежные. Хотя даже их можно обойти. 


Автор:
Обозреватель


Комментарии
В избранное Подписаться на ответы Сортировка: Древо развёрнутое
Свернуть все
1. VmvLer 31.07.19 14:07 Сейчас в теме
Киберпанк все спишет - авторизоваться будем по ДНК и волновой функции мозга.
К ДНК в ящике уже сейчас приручают, мол, бегите сдавайте образец в БД.

Как я вижу реализацию по ВФМ(волновой функции мозга):
Идентификация по волновой функция мозга будет зависеть от времени, места и психоэмоционального состояния.
Детали
- Нельзя будет как-то стырить образец функции и использовать , например, как фотографию отпечатка пальца,
ибо во времени эта функция будет меняться по уникальной закономерности, которую не воспроизведут даже квантовые компьютеры.
- Если я для какого-то банка указал, что списывать средства с этого счета я могу только в радиусе своего дома, трезвым и без стрессового состояния,
то бесполезно вести меня в лес и бить палками с целью выдать правильную ВФМ.

Думаете фантастика?
Уверен, подобные разработки уже ведут, т.к. если это пришло в голову мне, то это же могло прийти в голову и другим.
14. Ziggurat 50 06.08.19 14:03 Сейчас в теме
(1)
Если я для какого-то банка указал, что списывать средства с этого счета я могу только в радиусе своего дома, трезвым и без стрессового состояния,
то бесполезно вести меня в лес и бить палками с целью выдать правильную ВФМ.

Здоровье дороже, а как выяснят уже по приколу бить будут)))))))
2. Senator_I 13 31.07.19 14:13 Сейчас в теме
Все же пароли должны со временем уйти в прошлое, сейчас уже да их слишком много. На почту, на сайты, на приложения, пин-коды карточек и т.п.
3. Aftee 31.07.19 14:15 Сейчас в теме
если это пришло в голову мне, то это же могло прийти в голову и другим

всегда утешаю себя этим, когда я думаю "Я один такой идиот, который подумал\сделал какую-то ерунду?!"
4. VmvLer 31.07.19 14:24 Сейчас в теме
(3) на самом деле мы были в сети еще до того как слезли с деревьев, просто протоколы обмена забыты.
5. Senator_I 13 31.07.19 14:43 Сейчас в теме
"ваш пароль должен содержать цифры буквы завязку развитие кульминацию и неожиданный финал"
6. capitan 2234 31.07.19 21:44 Сейчас в теме
Вспоминается...
Сисадмин: — Ну и пусть говорят, что использовать кличку любимого кота в качестве пароля — дурной тон! RrgTt_fx32!b, кис—кис—кис…
10. Indgo 01.08.19 14:46 Сейчас в теме
(6) Ну все же знают имя кота. Какой бы он сложный не был
11. capitan 2234 01.08.19 16:22 Сейчас в теме
7. user1260738 01.08.19 00:27 Сейчас в теме
8. chemezov 45 01.08.19 03:08 Сейчас в теме
(7)круть. Жаль не скачивается пачка с нужным количеством паролей
9. DmitryKSL 156 01.08.19 08:11 Сейчас в теме
Чем больше становится сервисов, тем больше паролей должен запоминать человек

Собственно все пароли нужны в браузере, вопрос решается легко. Браузер запоминает пароли, нужно помнить только мастер пароль. Если я захожу в браузер с другого устройства, то первый раз требуется дополнительная верификация,например код из смс. Так что проблема яйца выеденного не стоит.
12. acanta 01.08.19 16:27 Сейчас в теме
Кстати о браузерах, куда делся пункт меню сохранить вебстраницу как файл?
Ziggurat; +1 Ответить
13. Indgo 01.08.19 16:46 Сейчас в теме
Делается все так - выбирается один длинный пароль - к примеру "Да здравствует Великая Октябрьская Социалистическая революция№#125"
далее из не берется хешкод Sha-256. Получаем afaf541630c7ec6168d7bdff5573ff63215b156a1c82116bd7b3dcb5bce5­0c85
Далее берем и Складываем
1. "afaf541630c7ec6168d7bdff5573ff63215b156a1c82116bd7b3dcb5bce­50c85"+"gogle.com" и снова делаем хэшкод - получаем: пароль для гугла "29a7dc1c8ef076e7aa597734f540735a0ef9fd5919a17ae2d9670746bf9­e9c82"

2. "afaf541630c7ec6168d7bdff5573ff63215b156a1c82116bd7b3dcb5bce­50c85"+"yandex.ru" и снова делаем хэшкод - получаем: пароль для яндекса. "94a691e21c33c060cddc6a0c171e327ca3d7488abf546e8d49141eeb3c5­92700"
Да такой пароль очень длинный:
Немного смекалки и можем получать упрощенный пароль из 8 символов путем преобразования хэшкода-пароля в Base64 строку и берем произвольные 8 символов (к примеру 1+2,3+4,5+6.....15+16 кратно 64) и получим пароли типа "dDfGF+3J" для гугла и "A/fghjyF" для яндекса
Устанавливаем прогу на телефон и теперь у нас один пароль на все.
Смысл в том что не надо помнить все пароли... а хранить все пароли в облаке гугла итп ... тоже как то не кашерно
15. Ziggurat 50 06.08.19 14:08 Сейчас в теме
(13) Зачем это всё? В уме хэш не возьмешь (говорю только за себя).
Оставьте свое сообщение

См. также

OpenAI опубликовала код системы распознавания речи Whisper

Новость Искусственный интеллект ИТ-новость

OpenAI открыла исходный код эталонной реализации на базе фреймворка PyTorch и набор уже обученных моделей для использования под лицензией MIT. Нейросеть используется для перевода речи в текст.

28.09.2022    1416    VKuser24342747    0       

Вторая версия среды разработки для плат Arduino вышла из бета-теста

Новость ИТ-новость Микроэлектроника

Arduino IDE 2.0 получила стабильную версию, в которой появилась поддержка автодополнения кода и темная тема. Разработка заняла несколько лет. Программа распространяется бесплатно.

23.09.2022    1337    VKuser24342747    0       

Основатель движения свободного ПО выпустил руководство по языку C

Новость Linux ИТ-новость Языки программирования

Ричард Мэттью Столлман, основатель Фонда свободного программного обеспечения, представил руководство по языку C и расширениям GNU. Пособие доступно всем желающим и предназначено как для опытных, так и начинающих программистов.

19.09.2022    1183    VKuser24342747    0       

«Ростелеком» предложил создать национальную экосистему на базе «Авроры»

Новость Импортозамещение ИТ-новость Мобильные приложения

Провайдер считает, что государственная мобильная экосистема поможет обеспечить технологическую независимость и экономический подъем страны. А ОС «Аврора» наиболее перспективная разработка для достижения этих целей.

15.09.2022    1189    VKuser24342747    5       

Яндекс выложил в открытый доступ инструмент для разработки мобильных приложений

Новость ИТ-новость Мобильные приложения Яндекс

Фреймворк DivKit от Яндекса стал доступен как open source решение. Инструмент позволяет менять интерфейс приложений без скачивания обновлений и значительно ускоряет мобильную разработку.

02.09.2022    1111    VKuser24342747    0       

Группа компаний «Астра» представила собственную мобильную ОС

Новость Linux ИТ-новость Мобильные приложения

Доработанная ОС Astra Linux Special Edition может быть запущена на большом числе мобильных устройств, в том числе на планшетах и смартфонах с процессорами на архитектурах ARM, «Эльбрус» и x86-64.

25.08.2022    755    VKuser24342747    1       

В России разработаны меры для решения проблемы нехватки ИТ-специалистов

Новость ИТ-новость

Вице-премьер Дмитрий Чернышенко сообщил, что сейчас экономике страны не хватает 1 млн ИТ-специалистов. Способы преодоления дефицита закреплены в программе нацпроекта «Цифровая экономика»

05.08.2022    1124    VKuser24342747    11       

Яндекс открыл доступ к фреймворку для создания приложений с микросервисной архитектурой

Новость GitHub ИТ-новость Яндекс

Инструмент Userver опубликован как бесплатное open source решение. Яндекс уже несколько лет эффективно его использует в своих приложениях Go, «Еда», «Лавка», «Доставка» и другие. Фреймворк находится в стадии бета – переезда на открытую разработку.

02.08.2022    1850    VKuser24342747    19       

Бизнес сможет использовать повышающий коэффициент для расходов на покупку ПО

Новость ИТ-новость

Принят закон, который позволяет компаниям учитывать расходы на отечественные программы и радиоэлектронное оборудование с коэффициентом 1,5. Решения должны быть включены в соответствующие реестры и относиться к ИИ.

26.07.2022    1737    VKuser24342747    0       

Минэкономразвития тестирует миграцию с Windows 10 на Astra Linux

Новость ИТ-новость

Министерство проводит эксперимент, в ходе которого сотрудники используют российскую ОС Astra Linux вместо Windows 10. По словам главы департамента, эксперимент проходит успешно.

11.07.2022    1300    VKuser24342747    0       

Вышла версия открытого текстового редактора Vim 9.0

Новость ИТ-новость

В приложение добавлен скриптовый язык с поддержкой компилируемых функций для создания плагинов, улучшена проверка правописания и автодополнения, предоставлен выбор цветовых схем.

07.07.2022    1391    VKuser24342747    0       

 «Яндекс» открыл доступ к SmartCaptcha и нейросети по генерации текстов 

Новость ИТ-новость Яндекс

Компания открыла доступ к алгоритму SmartCaptcha, который защищает сайт от спама и DDoS-атак, а также к проекту YaLM 100B, способному писать тексты на английском и русском языках. 

29.06.2022    1566    VKuser24342747    0       

«Яндекс» предложил разработчикам пройти диагностику технических навыков

Новость Кадровые агентства, подбор персонала ИТ-новость Яндекс

Компания запустила сервис, при помощи которого можно получить оценку своих технических навыков от специалистов «Яндекса». Тестирование включает онлайн-интервью и решение задач с реальных собеседований. 

27.06.2022    1510    VKuser24342747    1       

GitHub открыл доступ всем разработчикам к ИИ-помощнику Copilot по подписке

Новость GitHub Искусственный интеллект ИТ-новость

Github Copilot стал общедоступным, но для его использования пользователю репозитория нужно приобрести подписку. Хотя некоторые разработчики могут пользоваться инструментом бесплатно.

24.06.2022    1716    VKuser24342747    1       

В России планируют учредить Федерацию спортивного программирования

Новость ИТ-новость

Минцифры и Минспорта подписали меморандум, в котором закреплено сотрудничество ведомств по развитию в стране спортивного программирования и проведение первого официального чемпионата.

21.06.2022    1895    VKuser24342747    6       

Microsoft окончательно прекратила поддержку Internet Explorer

Новость Интернет ИТ-новость

Microsoft прекратила выпуск обновлений для своего браузера Internet Explorer, а с августа начнет удалять приложение из актуальных версий Windows. Эксперты полагают, что из-за этого пострадает много бизнес-пользователей.

17.06.2022    2134    VKuser24342747    4       

В России начал работу отечественный сервис мониторинга сбоев

Новость Импортозамещение Интернет ИТ-новость

Российская компания BrandAnalytics запустила платформу «Детектор сбоев», предназначенную для отслеживания работоспособности сайтов и сервисов, в том числе русскоязычных.

16.06.2022    1390    VKuser24342747    0       

Минцифры запустило систему отслеживания поддельных сайтов

Новость Безопасность Интернет ИТ-новость

Информационная система под названием «Антифишинг» способна обнаруживать мошеннические веб-ресурсы, которые выглядят как официальные сайты госорганов, компаний и соцсетей.

14.06.2022    2246    VKuser24342747    0       

GitHub прекратил поддержку редактора Atom ради перехода на VS Code

Новость GitHub ИТ-новость

GitHub объявил о прекращении разработки редактора кода Atom. К концу года все проекты в этом приложении станут доступны только для чтения. Причина – медленное развитие приложения.

10.06.2022    2084    VKuser24342747    2       

Вышла новая версия открытой операционной системы AlmaLinux 9

Новость Linux ИТ-новость

AlmaLinux – альтернатива CentOS, поддержка которой будет прекращена в 2024 году. В девятой версии ОС добавлено больше инструментов безопасности и обновлена среда разработки приложений.

09.06.2022    3235    VKuser24342747    2       

GitLab представила новый релиз платформы совместной разработки

Новость GIT ИТ-новость

Вышел релиз ИТ-хостинга для совместной разработки GitLab 15.0. В нем проведена подготовительная работа для перехода на VS Code, а также добавлен расширенный поиск и возможность управлять несколькими итерациями.

01.06.2022    2095    VKuser24342747    2       

Минцифры создаст единую цифровую платформу для акцептования оферт

Новость ИТ-новость Цифровая экономика

Правительство подготовило проект постановления, которое позволяет провести эксперимент по разработке Единой цифровой платформы ведения и акцептования оферт. В тестовом режиме сервис проработает до января 2023 года.

31.05.2022    1458    VKuser24342747    0       

VK совместно с Минцифры запустили магазин приложений RuStore

Новость Импортозамещение ИТ-новость Мобильные приложения

Компания начала бета-тестирование официального магазина приложений для Android. В маркетплейсе уже сейчас доступно более ста программ, часть из которых недоступны в Google Play.

27.05.2022    2671    VKuser24342747    5       

В GitHub появилась нативная поддержка математических выражений в md-файлах

Новость GitHub ИТ-новость

Команда GitHub рассказала о новой функции, которая позволяет записывать математические формулы в Markdown. Разработчики впервые попросили добавить эту возможность восемь лет назад.

26.05.2022    2024    VKuser24342747    0       

Национальный удостоверяющий центр наладил выпуск TLS-сертификатов

Новость Безопасность Импортозамещение Интернет ИТ-новость

Национальный удостоверяющий центр (НУЦ) предложил владельцам сайтов получить сертификаты безопасности с поддержкой технологии прозрачности. Они работают в российских браузерах.

25.05.2022    2170    VKuser24342747    1