Возникновение пароля или цикличность жизни

Пароли использовались людьми с древности, но в компьютерах они появились сравнительно недавно — в 60-х года.

Это случилось вместе с приходом возможности параллельной работы нескольких пользователей — программистов, с учетом времени — на одной машине. Пароли нужны были для разделения доступов между юзерами.

Вместо паролей уже тогда предлагались парольные фразы и контрольные вопросы. Прогрессивно, да, но размер подобных факторов логина был слишком велик для тогдашних маленьких по объему, но больших по физическим размерам и ценам накопителей. По цене одной ЭВМ можно было несколько частных самолетов купить.

Никому из спонсоров не было дела до безопасности настолько, чтобы жертвовать крайне ценным пространством — лишь бы как можно больше народу могли работать и, желательно, без жалоб на утечку своих данных к коллеге. Так ученые из Массачусетского института технологий и ввели в пользование пароли.

Инновацию принесла операционная система с открытым кодом CTSS или Compatible Time-Sharing System на IBM 7094. Помимо паролей, в CTSS впервые появились такие привычные для современных ОС вещи как виртуальные машины, клиенты email и мгновенные сообщения, но именно пароли вошли в историю как первый случай компьютерного взлома.

Точкой проникновения, если это можно так назвать, была комбинация технической уязвимости и социальной инженерии. Весной 1962 Алану Шерру, тогда кандидату наук в МИТ, не хватало выделенных ему 4 часов в неделю для работы в CTSS. Система разделяла доступ к ней по логину и паролю и Шерр решил, что для продления своего времени ему надо получить доступ к другим аккаунтам на машине.

В лаборатории, где находился компьютер, можно было запросить распечатку любого файла с машины, приложив к запросу перфокарту. Поздно вечером в пятницу Шерр запросил распечатку файла с паролями всех пользователей — предка /etc/passwd из сегодняшних Unix-систем, только пароли в нем тогда хранились в чистом тексте.

Рано утром в субботу, когда практически никто не хотел быть в лаборатории, ученый забрал свою распечатку с паролями и пошел работать с чужих аккаунтов. А чтобы не чувствовать себя одиноким в воровстве, он раздал пароли еще нескольким ученым, один из которых зашел в аккаунт заведующего лабораторией и оставил, вероятно, первый в истории “сувенир” от хакера во взломанной системе, как они это любят делать.

Ни о какой компьютерной криминалистике тогда речи не шло, и об авторе атаки узнали лишь спустя четверть века, и то — по его собственному признанию тому самому профессору, заведовавшему компьютерной лабораторией.

ИМХО:  С тех пор операционные системы стали гораздо сложнее, но фундаментально ничего не изменилось — те же пароли, те же возможности получить доступ к passwd повышением привилений через уязвимые бинарники. Разве что физический доступ к машине больше не нужен.