至少和人类一直在记录历史一样,类似于密码的东西似乎已被使用。例如,最早提到密码这样的事物在法官书中有提到,它在公元前六世纪或公元前七世纪首次被记录下来。
据了解,快速前进和罗马军团已经使用一个简单的密码系统来辨别陌生人是朋友还是敌人。公元前2世纪,希腊历史学家Polybius甚至详细描述了密码系统如何确保每个人都知道当前密码是什么。
罗马历史学家Suetonius甚至使用一种简单的密码来提到凯撒,它要求接收者知道一个密钥,在这种情况下,需要正确的次数来移动字母表,以解密信息。
至于更现代的时候,美国麻省理工学院计算机科学退休教授FernandoCorbato实现了电子计算机上第一个已知的密码系统实例。1961年,麻省理工学院有一台巨型分时计算机,称为兼容时分系统(CTSS)。Corbato在2012年的一次采访中将陈述:“CTSS的关键问题是我们设立了多个终端,供多人使用,但每个人都有自己的私人文件集。将每个用户的密码作为锁定似乎是一个非常简单的解决方案。“
在继续之前我们应该提到的一点是,科尔博塔在第一个实施计算机密码系统方面犹豫不决。他建议IBM于1960年建立的一种设备称为半自动业务研究环境(Sabre),该设备曾用于制作和维护旅行预订(并且仍处于升级状态),可能使用了密码。然而,当IBM联系到这一点时,他们不确定系统最初是否具有这种安全性。由于没有人记录它是否存在,科尔巴托似乎普遍被视为第一个将这样的系统放在电子计算机上的功劳。
当然,这些早期的原始密码存在一个问题,即使这个引入了严重的安全漏洞,它们仍然以纯文本形式存储。
在那张照片上,1962年,一位名为AllanScherr的博士生设法让CTSS打印出所有电脑的密码。谢尔注意到,这个“盗窃罪”只是获得了超过他被授予的每日计算机时间的四小时。
Scherr随后分享了密码列表以混淆他参与数据膛线的情况。当时的系统管理员简单地认为密码系统中肯定存在一个错误,Scherr从未被发现。我们只知道他是负责任的,因为他差不多半个世纪后怯懦地承认,那是他做的。这个小小的数据泄露让他成为第一个窃取电脑密码的人,这个电脑先驱似乎今天非常自豪。
根据Scherr的说法,有趣的是,有些人使用密码获得更多时间在机器上运行模拟等,但其他人却决定使用它们登录他们不喜欢的人的账户,只留下侮辱性消息。这只是表明,虽然电脑在过去的半个世纪里可能发生了很大变化,但人们肯定没有。
无论如何,大约5年之后,在1966年,当随机管理员意外地混淆向每个用户显示欢迎消息的文件和主密码文件时,CTSS再次遭遇大规模数据泄露...这个错误看到每个密码都存储在该机器将显示给任何尝试登录CTSS的用户。
为解决整个明文密码问题的一种方法,安全专家为UNIX创建了一个单向加密系统,即使有人可以访问密码数据库,它至少在理论上也是如此,但他们无法分辨出什么任何密码都是。当然,随着计算能力和聪明的算法的进步,更加聪明的加密方案不得不被开发出来......白色和黑帽安全专家之间的争斗从此一直在发生。
这一切都促成了比尔盖茨在2004年的着名言论,“[密码]只是没有遇到任何你真正想要保护的挑战。”
当然,最大的安全漏洞一般不是所使用的算法和软件,而是用户本身。每个人使用难以让人记住的密码,但计算机很容易猜到。
除此之外,Burr还建议使用随机字符替换字,包括需要大写字母和数字,并且系统管理员会定期更改密码以获得最大的安全性。
为了公平地对待Burr,关于密码的人类心理学方面的研究在撰写这些建议时基本上是不存在的,并且在理论上当然他的建议从计算角度来看应当比使用常规词语稍微安全得多。
英国国家网络安全中心(NCSC)指出,这些建议的问题在于,“密码使用的这种扩散以及日益复杂的密码要求对大多数用户提出了不切实际的要求。用户将不可避免地设计自己的应对机制来应对“密码过载”。这包括写下密码,在不同系统中重复使用相同的密码,或使用简单且可预测的密码创建策略。“
到目前为止,Google在2013年对人们的密码进行了一项快速研究,并注意到大多数人在其密码方案中使用了以下内容之一:宠物,家庭成员或合作伙伴的姓名或生日;周年纪念日或其他重要日期;出生地;最喜欢的节日与最喜欢的运动队有关;和莫名其妙的,密码这个词...
所以,最重要的是,大多数人选择基于黑客易于访问的信息的密码,然后他们可以相对容易地创建蛮力算法来破解密码。
例如,除了别的以外,上述NCSC现在建议系统管理员停止让人们更改密码,除非在系统内存在已知的密码破坏,例如“这给用户带来了负担(谁可能选择新密码旧的微小变化),并没有真正的好处......“进一步指出,研究表明,”定期更换密码可能会伤害而不是提高安全性......“
或者作为物理学家,萨里大学的计算机科学家艾伦伍德沃德博士指出,“你要求某人更改密码的次数越多,他们通常选择的密码越弱。”
类似地,即使是典型的密码要求长度的完全随机的字符集也相对容易受到暴力攻击,而没有进一步的安全措施。因此,美国国家标准与技术研究院也同样更新了他们的建议,现在鼓励管理员让人们把注意力集中在漫长而简单的密码上。
例如,像“我的密码很容易记住”的密码通常比“D@ught3rsN@m3!1”更安全,甚至“*^sg5!J8H8*@#!^”
当然,使用这些短语可以让事情变得容易记忆,但它仍然没有解决某些主要服务每周看似数据库遭到黑客攻击的问题,这些系统有时使用弱加密,甚至完全没有存储私人数据和密码,例如黑客攻击,美国有1.455亿人暴露了他们的个人数据,包括全名,社会安全号码,出生日期和地址。
由于这种事情,国家网络安全中心现在还建议管理员鼓励人们使用密码管理器软件,以帮助提高人们使用不同密码的可能性,以适应不同系统。
最后,无论系统如何精心设计,都不会有完全安全的系统,从而使我们接受上述着名的密码学家罗伯特莫里斯编写的计算机安全的三条金科玉律:“不需要计算机,不要启动它,不要使用它。“(黑客周刊)