История логинов и паролей

Как проводили авторизацию в Древнем Риме и шифровали послания на Руси.

История логинов и паролей

Материал подготовлен при поддержке Сбер ID

Идентифицировать «своих» и «чужих» людям нужно было ещё задолго до изобретения письменности. Связка «логин-пароль» — одно из древнейших явлений в истории цивилизации (хоть и называлась она иначе). Как римляне определяли врагов по одному слову, а учёные Ренессанса шифровали послания и кто изобрёл первый цифровой пароль — читайте в статье.

Какие пароли использовали в древности

Одно из самых ранних упоминаний чего-то похожего на пароль можно найти в библейской Книге Судей, написанной в 6–7 век до н.э. Там описана история о племенах Галаада, которые находили врагов с помощью слова «шиболет». Из-за особенностей диалекта люди из вражеского племени произносили это слово по-другому. Человека, который не мог пройти этот фонетический тест, убивали.

Принцип определения «своих» и «чужих» по парольной фразе использовали и римские легионеры во 2 веке до н.э. Безопасно передавать важные сообщения между войсками им помогала деревянная табличка с кодовым словом. Военный лагерь выбирал человека, который не стоял в карауле — каждый день на закате он заходил в палатку военачальника и получал от него табличку. Дальше он передавал её своему командиру, а тот — командиру следующего подразделения и так, пока табличка не доходила до каждого. До наступления темноты табличку нужно было вернуть военачальнику. Если она возвращалась, это значило, что пароль знают все подразделения.

В древнем Китае с 7 века н.э. для идентификации применяли верительные бирки. Эти «знаки» обычно состояли из двух частей: одна хранилась у правителя, другая – у человека, которого отправили с поручением. Подлинность приказа, например, на проход через дворцовые ворота или на смену почтовых, можно было подтвердить только соединив обе половины. Бирки делали из бамбука или металла, а их форма менялась — в разные эпохи бирки принимали формы тигров, рыб, черепах и других животных. Со временем они стали ещё и пропусками — бирки демонстрировали страже, чтобы пройти в императорский дворец.

В 13 веке на территории древней Монголии появились пайцзы — верительные медальоны, которые получали служители императорского двора. Если человек появлялся во дворце без этой бирки, его ждало наказание.

Как пароли помогали зашифровывать информацию

В Древнем мире

С появлением письменности понадобилось обезопасить информацию на случай, если текст перехватят враги.

В Древней Месопотамии слово «пароль» означало то же, что и «предзнаменование». Расшифровка считалась сложным занятием, а люди, которые умели это делать, получали власть.

В Спарте в 3 веке до н.э. пользовались скиталой – прототипом криптографического устройства. Скитала представляла собой цилиндр, обмотанный полоской пергамента с текстом. После разматывания ленты, текст превращался в шифр. Прочитать его мог только человек, у которого был цилиндр такого же диаметра.

Скитала <a href="https://api.vc.ru/v2.8/redirect?to=https%3A%2F%2Fnaked-science.ru%2Farticle%2Fsci%2Fot-manuskriptov-do-shifrovalnyh&postId=341444" rel="nofollow noreferrer noopener" target="_blank">naked-science</a> 
Скитала naked-science 

Юлий Цезарь изобрёл собственный шифр: каждую букву исходного текста он заменял на другую, отстоящую от неё по алфавиту на определённое число позиций. Адресату нужно было только знать на сколько.

Пример шифра Цезаря <a href="https://api.vc.ru/v2.8/redirect?to=https%3A%2F%2Ftonpix.ru%2Fshifr_cezarya_blok_shema_639038%2F&postId=341444" rel="nofollow noreferrer noopener" target="_blank">tonpix</a>
Пример шифра Цезаря tonpix

В Древней Руси существовал шифр под названием литорея. У неё было две версии: «мудрая» и «простая». В «мудрой» некоторые буквы заменялись точками, палками или кругами.

Простую литорею ещё называли тарабарской грамотой, потому что в ней все согласные буквы кириллицы располагались в два ряда. Чтобы расшифровать письмо, нужно было буквы одного ряда заменить буквами другого. Это похоже на шифр Цезаря, но заменяются в слове только согласные, а замена не связана со смещением.

Письмо царя Алексея Михайловича своему двоюродному брату написанное тарабарщиной <a href="https://api.vc.ru/v2.8/redirect?to=https%3A%2F%2Fpikabu.ru%2Fstory%2Ftarabarshchina_starinnyie_metodyi_shifrovaniya_chast_vtoraya_6122914&postId=341444" rel="nofollow noreferrer noopener" target="_blank">pikabu</a>
Письмо царя Алексея Михайловича своему двоюродному брату написанное тарабарщиной pikabu

В эпоху Ренессанса

С наступлением эпохи Возрождения шифры усложнились. В 1466 году итальянский учёный Леон Альберти изобрёл шифровальный диск. Он состоит из двух частей: внутренний диск — это ключ к внешнему. На обоих дисках написаны буквы и цифры, но в разном порядке. Для шифрования нужно найти букву текста на внешнем диске и заменить её на букву на внутреннем — под ней. После этого внутренний диск сдвигается, и новая буква зашифровывается с новой позиции.

Пароль к шифру — это порядок расположения букв на внутреннем диске и его начальное положение относительно внешнего диска. Чтобы расшифровать послание, у получателя тоже должен был быть такой диск. В начале шифрования внутренний диск поворачивался так, чтобы буква «A» на внешнем диске совмещалась с заранее оговоренной буквой внутреннего диска. Следующую букву открытого текста отыскивали на внешнем диске, а стоящая против неё буква была результатом её шифрования. После того как несколько букв были зашифрованы, положение индексной буквы менялось, о чем также сообщалось корреспонденту.

Диск Альберти <a href="https://api.vc.ru/v2.8/redirect?to=https%3A%2F%2F3dnews.ru%2F916293%2Fshifri-iz-proshlogo-taynopis-i-zagadki-dokompyuternoy-epohi&postId=341444" rel="nofollow noreferrer noopener" target="_blank">3dnews</a>
Диск Альберти 3dnews

В 1553 году итальянец Джованни Белазо, служивший секретарём в свите кардинала, написал книгу «Шифр сеньора Белазо». Он предлагал применять для шифрования пароль — специальное слово или группы слов. Его следовало записывать над или под открытым текстом, при этом каждая буква пароля означала номер применяемой замены к букве открытого текста.

Для зашифровки и дешифровки использовали таблицу, в первой строке которой располагались символы в алфавитном порядке. Начиная со второй строки символы записываются со сдвигом влево на одну позицию. Выталкиваемые символы заполняли освобождающиеся позиции справа.

При шифровании нужно выбрать слово-пароль и записать его под буквами шифруемого текста. Символ шифруемого текста определяет столбец матрицы шифрования. Необходимый для его замены символ находится на пересечении этого столбца со строкой, соответствующей букве ключа, записанного под шифруемым текстом. Например для пароля «зонд» таблица шифрования состоит из пяти строк:

Пример таблицы для шифрования с паролем «зонд» <a href="https://api.vc.ru/v2.8/redirect?to=https%3A%2F%2Fbstudy.net%2F825821%2Ftehnika%2Fshifry_mnogoalfavitnoy_zameny&postId=341444" rel="nofollow noreferrer noopener" target="_blank">bstudy</a>
Пример таблицы для шифрования с паролем «зонд» bstudy

Дальше записываем пароль («зонд») под шифруемым словом («криптография»). По таблице зашифровываем всё слово и получается «СЭХУЩЫРФЗАХВ».

Пример шифра Белазо <a href="https://api.vc.ru/v2.8/redirect?to=https%3A%2F%2Fbstudy.net%2F825821%2Ftehnika%2Fshifry_mnogoalfavitnoy_zameny&postId=341444" rel="nofollow noreferrer noopener" target="_blank">bstudy</a>
Пример шифра Белазо bstudy

Итальянский математик и философ Джироламо Кардано в 1566 году придумал систему шифрования с помощью трафаретов — её назвали «решётка Кардано». Она может быть двух видов — простая и симметрично-поворотная. В первом случае для шифрования применяется трафарет с отверстиями, которые показывают важный текст.

Решётка Кардано <a href="https://api.vc.ru/v2.8/redirect?to=https%3A%2F%2F3dnews.ru%2F916293%2Fshifri-iz-proshlogo-taynopis-i-zagadki-dokompyuternoy-epohi&postId=341444" rel="nofollow noreferrer noopener" target="_blank">3dnews</a>
Решётка Кардано 3dnews

Второй вариант предполагает работу с симметричным трафаретом, который можно применять несколько раз, просто поворачивая его вокруг центра.

Леонардо да Винчи шифровал свои изобретения с помощью «зеркального письма» — записывая текст слева направо.

В Новое время

В 1790 году будущий президент США Томас Джефферсон создал дисковый прибор, который автоматизировал шифрование и стал первым криптоустройством Нового времени. 36 деревянных дисков с буквами и цифрами, нанизанных на цилиндр, вращались независимо друг от друга. Диски устанавливали в определённом порядке, об этом отправитель и получатель договаривались заранее.

Цилиндр Джефферсона <a href="https://api.vc.ru/v2.8/redirect?to=https%3A%2F%2Fhabr.com%2Fru%2Fcompany%2Fua-hosting%2Fblog%2F270931%2F&postId=341444" rel="nofollow noreferrer noopener" target="_blank">Habr</a>
Цилиндр Джефферсона Habr

Чтобы зашифровать текст, человек вращал каждый диск, чтобы получить нужно слово или фразу в одной строке. Дальше он переписывал любую другую строчку — ниже или выше готового текстового послания.

Получатель поворачивал диски на своём устройстве и выкладывал полученный шифр вв строку, а затем осматривал остальные строки, чтобы найти осмысленное текстовое послание.

Шифрование использовали и военные. В 1854 году появился простой шифр Плейфера, для которого не требовались специальные приспособления, только ключевое слово и квадратная таблица из 25 букв английского алфавита.

Пустые ячейки таблицы заполняли буквами ключевого слова, без повторяющихся символов, а оставшиеся ячейки — буквами, которые не встречались в ключе.

Для шифрования брали пары букв — биграммы и следовали четырём правилам:

  • если две буквы биграммы совпадают — после первого символа добавляется «Х»;
  • если символы биграммы исходного текста встречаются в одной строке, то эти символы замещаются на символы, расположенные в ближайших столбцах справа;
  • если символы биграммы встречаются в одном столбце, то они преобразуются в символы того же столбца, находящимися под ним;
  • если символы биграммы исходного текста находятся в разных столбцах и разных строках, то они заменяются на символы, находящиеся в тех же строках, но соответствующие другим углам прямоугольника.

Для расшифровки применяют обратные правила.

Так выглядит зашифрованное слово «password», а ключевое слово — «login»
Так выглядит зашифрованное слово «password», а ключевое слово — «login»

В Новейшей истории

Шифром Плейфера британские военные пользовались до начала Второй мировой войны, когда появились шифровальные машины. «Энигма» работала так: при нажатии на клавишу с буквой алфавита в движение приходили один или несколько роторов. Буква менялась несколько раз по принципу шифра Цезаря (каждая буква исходного текста заменялась на другую, стоящую от неё по алфавиту на определённое число позиций). Машина могла воспроизводить 15 квадриллионов комбинаций, поэтому этот шифр долго не могли взломать.

Английский математик Алан Тьюринг разработал метод для расшифровки сообщений «Энигмы». На его основе англичане создали машину под названием «Бомба». Чтобы расшифровать сообщение, нужен был «ключ» — часть открытого текста или структура сообщения. Для этого достаточно было перехватить часть сообщения, на основе которого «Бомба» перебирала возможные варианты, чтобы восстановить полный текст.

Первую «Бомбу» — три метра в длину, два в высоту и весом 2,5 тонны — запустили в 1940 году. Комплекс из 210 таких машин позволял англичанам расшифровывать до 3 тысяч военных сообщений в сутки.

Turing Bombe <a href="https://api.vc.ru/v2.8/redirect?to=https%3A%2F%2Fru.wikipedia.org%2Fwiki%2FBombe&postId=341444" rel="nofollow noreferrer noopener" target="_blank">Wikipedia</a>
Turing Bombe Wikipedia

Когда появились первые цифровые пароли

С появлением первых компьютеров для входа в систему стали использовать связку логин–пароль.

Слово «log» (от англ. «бревно») пришло из судоходства: чтобы измерить скорость движения корабля, моряки бросали в воду деревяшку и засекали время, за которое судно проплывёт мимо неё. Зная длину корпуса от носа до кормы, они вычисляли скорость. Такой способ известен с 15 века и называют его «голландский лаг».

Позднее для этого появилось специальное приспособление «лаг» — деревяшка на верёвке, на которой через равные интервалы матросы завязывали узлы. Матрос бросал лаг за борт, засекал время, и отсчитывал количество узлов, которое ушло за борт. Так начали измерять скорость в узлах. Эту информацию заносили в бортовой журнал (log-book). Сделать это мог не каждый, для этого нужен был доступ к журналу (log in). Когда появились компьютеры, процесс входа в систему стали называть по аналогии — login.

Первый компьютерный пароль создал инженер Фернандо Корбато в 1961 году. Он работал в Массачусетском технологическом институте (MIT), где делил с коллегам один огромный компьютер. Но данные всех пользователей хранились в одном месте, и, чтобы они не путались, на компьютере создавали «разделы»: каждый учёный мог получить доступ только к своим данным — для этого им выдавали пароли.

Отец компьютерного пароля Фернандо Хосе Корбато <a href="https://api.vc.ru/v2.8/redirect?to=https%3A%2F%2Fwww.heidelberg-laureate-forum.org%2Flaureate%2Ffernando-j-corbato.html&postId=341444" rel="nofollow noreferrer noopener" target="_blank">Heidelberg Laureate Forum</a>
Отец компьютерного пароля Фернандо Хосе Корбато Heidelberg Laureate Forum

Первый взлом произошёл уже спустя год. Аспиранту MIT Аллану Шерру не нравилось, что общим компьютером в университете можно было пользоваться лишь по 4 часа в день. Все пароли хранились в отдельном текстовом файле на этом же компьютере. Шерр запросил распечатку файлов и просто забрал распечатанный документ из картотеки. Чтобы обезопасить себя, он поделился списком паролей с двумя другими аспирантами. Системные администраторы даже не подумали о том, что это может быть и утечка, поэтому не стали искать виновного. Шерр признался в краже только полвека спустя. Объяснив это тем, что хотел получить больше времени для работы.

Взламывать компьютеры автоматически научились в 1988 году. Студент Корнелльского университета Роберт Таппан Моррис написал программу, получившую название «Червь Морриса». Она сама распространялась по сети и подбирала пароли к учётным записям с помощью имени пользователя и списка из 400 самых популярных слов, например, «аэробика», «самолёт», «кофе», «банки», «Эйнштейн».

Вирус на несколько суток парализовал работу компьютеров в сети Arpanet — прототипе интернета. Общие убытки оценивали в $98 млн. В 1989 году Моррис стал первым в мире обвиняемым по статье о компьютерных преступлениях. Его осудили на три года условно со штрафом $10 тысяч (это $21 тысяча в 2021 году) и 400 часами общественных работ.

«Червь Морриса» заставил инженеров и учёных по всему миру задуматься о вопросах компьютерной безопасности. Именно после этого в машинах стали добавлять паузы после неправильного ввода и хранить пароли в закрытом месте.

Почему современные пароли не работают

Люди пользуются паролями, чтобы получить доступ к компьютерам, смартфонам, программам, сервисам и защитить данные. Но пароль — не физический барьер. Простые пароли легко угадать с помощью вычислительных методов, например, «атаки по словарю», когда проверяются все известные слова и словосочетания на определённом языке. Пароль можно получить и с помощью социальной инженерии, обманом заставив человека раскрыть его.

Билл Гейтс в 2004 году заявил: «Пароли не подходят для того, что вы действительно хотите защитить». А программист Рэндалл Манро высказал подобное мнение в веб-комиксе xkcd.

Тот самый комикс про сложность паролей <a href="https://api.vc.ru/v2.8/redirect?to=https%3A%2F%2Fxkcd.ru%2F936%2F&postId=341444" rel="nofollow noreferrer noopener" target="_blank">xkcd</a>
Тот самый комикс про сложность паролей xkcd

Но главная проблема безопасности не в самой концепции паролей, а в пользователях. В 2013 году Google провёл исследование и выяснил, что большинство паролей включают имя или день рождения домашнего животного, члена семьи или партнёра, годовщину или другую знаменательную дату, место рождения, любимый праздник, и слово «пароль».

Пароли становятся проще и слабее. NordPass выпускают ежегодный отчёт о самых распространённых кодовых комбинациях. На первом месте — «123456». Его применяют более 100 млн пользователей. На втором и третьим местах — «123456789» и «12345». В десятке также «qwerty» и «111111».

Чтобы обезопасить свои данные, пароли должны быть уникальными. Например, Microsoft даёт такие рекомендации:

  • для каждого сайта придумывайте новый пароль;
  • не используйте в качестве пароля одно слово, например password, или частые фразы, например Iloveyou;
  • используйте пароли, которые будет сложно угадать даже тем, кто хорошо вас знает;
  • не включайте в пароли имена и дни рождения родных и друзей, названия любимых групп или фразы, которые вы часто произносите.

Не рекомендуют также записывать пароли на бумажках, хранить их в «Заметках» на телефоне или применять автозаполнение паролей в браузерах.

Лучше активировать двухфакторную аутентификацию — это дополнительная проверка безопасности с помощью электронной почты, смс или биометрии (отпечаток пальца или Face ID).

Создатель первого цифрового пароля Фернандо Корбато в одном из интервью заявил, что они стали кошмаром. Когда Корбато придумывал концепцию, он не подозревал, что человеку придётся придумывать и хранить десятки и сотни кодовых последовательностей от различных учётных записей. Количество паролей у самого Корбато перевалило за сотню — он записал их на трёх бумажных листах.

Чтобы избавить пользователей от необходимости заполнять формы регистрации и запоминать пароли, Сбер разработал сервис — Сбер ID. С его помощью пользователи регистрируются и входят в свою учётную запись в один клик.

Сервис подключается к любому сайту или приложению с помощью SDK (комплекта для разработки) или готовых модулей. Бизнес получает повышенную заполняемость профиля и актуальные контакты клиентов (куда точно доходят письма и сообщения), а также защищает себя от ботов и мошенников — в Сбер ID следят за актуальностью данных учётных записей клиентов.

Чтобы оставить заявку на подключение, нужно заполнить четыре поля и сделать один клик на сайте.

2020
12 комментариев

у меня был счёт в банке "Возрождение", и был интересный случай, они там меняли что то в системе и в определенный момент мне сказали
- "у вас теперь другой пароль от личного кабинета, тот же самый только без последних трёх знаков"

и я как разработчик был в шоке, это значит что они хранят пароли в открытом виде, потому как если бы это был хэш+соль такой финт был бы не возможен

4

Может они дюже продвинутые и используют гомоморфное шифрование)

У меня вот никогда не было счёта в Сбере, и мне спам звонки не поступают.

Сбер ID в этом плане кажется ещё опаснее.

3

Комментарий недоступен

1

А вдруг это шифр, не сдавайтесь

4

А зачем тогда хром предлагает автозаполнение? Оно же не надёжно)

2