Miesiąc: sierpień 2022

Wojna w Koryncie toczyła się przez następną dekadę, a żadna ze stron nie wydawała się mieć szans na zwycięstwo. (Jak już wcześniej przekonały się Ateny i Sparta, wygranie wojny w kontynentalnej Grecji było bardzo trudne!) Ostatecznie wygrała dyplomacja. W 386 r. p.n.e. król perski Artakserkses interweniował i wynegocjował ważny traktat pokojowy. W tak zwanym Pokoju Królewskim:

* Grecy zgodzili się pozwolić Persji kontrolować wszystkie greckie miasta w Azji Mniejszej.

* Wszystkim innym greckim miastom pozwolono rządzić się i być wolnym od jakiejkolwiek kontroli innego państwa.

* Każdy kraj, który złamał te warunki, został zaatakowany przez siły perskie.

W pewnym sensie Artakserkses próbował położyć kres całemu budowaniu imperium, które miało miejsce przez ostatnie stulecie. Pomysł był odważny – i dobry także dla Persji – ale nigdy nie miał trwać długo.

Era greckich miast-państw zbliżała się do końca – częściowo dlatego, że ich nieustanne wojny osłabiały ich wszystkich! Szczególnie ponury znak przyszłości nadszedł w 390 r. p.n.e., kiedy duże siły spartańskie zostały pokonane przez grecką armię najemników pod Lechajon, niedaleko miasta Korynt. Niegdyś największa i najstraszniejsza armia na Morzu Śródziemnym, Spartanie byli upokarzani przez ludzi walczących w inny sposób – jako lekkozbrojni peltastai. I przez 338 r.  p.n.e. cała Grecja znalazła się pod kontrolą nowych bojowników z północy – Macedończyków .

Ponieważ każda metoda uwierzytelniania ma swoje wady i mocne strony, optymalnym sposobem zapewnienia równowagi między bezpieczeństwem i wygodą jest zastosowanie podejścia warstwowego w postaci systemu wielokrotnego uwierzytelniania. Taki system wykorzystywałby szereg różnych metod uwierzytelniania w celu weryfikacji tożsamości użytkownika. Każda warstwa zapewnia dodatkowe bezpieczeństwo, a posiadanie wielu warstw zwiększa wygodę, na przykład użytkownicy mogą polegać na haśle graficznym w połączeniu z hasłem, a nie na pojedynczym haśle, które jest niezwykle długie, aby zwiększyć bezpieczeństwo. Chociaż różne metody uwierzytelniania są podatne na różne ataki na własną rękę, w połączeniu z innymi metodami, mogą stworzyć bardziej holistyczny system bezpieczeństwa. Warstwowe mechanizmy bezpieczeństwa odstraszą intruzów, znacznie utrudniając nielegalny dostęp do systemu. Również jeśli atak miałby zostać opracowany w celu infiltracji jednego warstwowego systemu bezpieczeństwa, niekoniecznie byłby skuteczny przeciwko drugiemu, ponieważ różne kombinacje warstw byłyby w stanie zapobiec różnym formom ataków. Na przykład trójwarstwowy system uwierzytelniania mógłby wykorzystywać tradycyjną nazwę użytkownika i hasło jako warstwę początkową; chociaż ta warstwa sama w sobie może nie zapewniać odpowiedniego bezpieczeństwa, jest to wygodne, ponieważ większość użytkowników ma już doświadczenie w korzystaniu z tego rodzaju techniki uwierzytelniania . Ponadto druga i trzecia warstwa wzmocnią system. Druga warstwa będzie najbezpieczniejsza, ponieważ jest najbardziej innowacyjna, obejmuje system graficzny, w którym użytkownik musi wybrać znane zdjęcia z siatki w odpowiedniej kolejności. Jednak dodano dodatkowe ograniczenie, każde zdjęcie musi zostać kliknięte określoną liczbę razy. Zdjęcia, które mają być klikane, kolejność, w jakiej muszą być klikane, oraz liczba kliknięć, są określane przez użytkownika podczas tworzenia konta. Jest to sposób na promowanie wskaźników wycofywania, ponieważ ograniczenia nie są wymuszane na użytkownikach, ale określane są w ramach. Same zdjęcia będą jednak wybierane z losowego zestawu, co eliminuje ryzyko, że użytkownik prześle osobiste zdjęcia, co sprawiłoby, że system byłby częściowo podatny na ataki zgadywania. Taka technika sprawdzi się dobrze w połączeniu z programem edukacyjnym, który pokaże użytkownikom wartość systemu i sposób jego prawidłowego wdrożenia. Chociaż wielu użytkowników może nie być zaznajomionych z tego rodzaju metodą uwierzytelniania, koncepcja ta jest łatwa do zrozumienia, a dzięki odpowiedniej edukacji użytkownicy poczują się z nią swobodnie  Trzecia warstwa obejmuje kognitywny system pytań i odpowiedzi, w którym użytkownik musi odpowiedzieć na losowe pytanie z zestawu wcześniej określonych pytań. Jest to bardzo przyjazna dla użytkownika metoda uwierzytelniania, ponieważ użytkownicy są bardziej skłonni do zapamiętania danych osobowych. Ponownie, nie jest to najbezpieczniejsza metoda, ale w połączeniu z innymi warstwami tworzy bardziej holistyczny system, który jest równie przyjazny dla użytkownika, co bezpieczny, pod warunkiem, że użytkownicy są odpowiednio przeszkoleni

Wniosek

Potrzeba systemów uwierzytelniania w celu ochrony danych elektronicznych jest stała; wraz z postępem technologii informacyjnej staje się jasne, że technologia i mechanizmy mające na celu ochronę naszych danych również muszą ewoluować. Tradycyjne systemy uwierzytelniania, choć szeroko wdrażane, często nie spełniają potrzeb w zakresie bezpieczeństwa; jest to częściowo spowodowane faktem, że liczba sposobów ataków na te systemy stale rośnie. Dlatego konieczne staje się wdrażanie nowych systemów wykorzystujących innowacyjne metody uwierzytelniania w połączeniu z tradycyjnymi metodami wytwarzania wielowarstwowych systemów uwierzytelniania. I odwrotnie, chociaż użytkownicy znają wiele z tych systemów i korzystają z nich na co dzień, często nie są one zbyt przyjazne dla użytkownika ani wygodne. Prowadzi to do złych praktyk związanych z hasłami lub etykiety, w których użytkownicy używają tego samego hasła do wielu kont lub nawet je zapisują. Jest to afront dla bezpieczeństwa systemu uwierzytelniania, ale należy go przede wszystkim przypisać słabemu projektowi systemu. Należy osiągnąć równowagę między wygodą a bezpieczeństwem. Mówiąc dokładniej, system musi być prosty w obsłudze, ale także bezpieczny. Można to osiągnąć poprzez edukację użytkowników, wdrażanie polityk bezpieczeństwa, i uświadomienie im, dlaczego taka polityka jest konieczna. Zapewnienie użytkownikom narzędzi do tworzenia bezpiecznych haseł, zapamiętywania tych haseł i pomagania im w zrozumieniu, dlaczego bezpieczeństwo jest najważniejsze. Jeśli ta technika jest połączona z systemem, który jest zbudowany z myślą o bezpieczeństwie, a także o wygodzie, można osiągnąć całościowe podejście do uwierzytelniania użytkowników i bezpieczeństwa w ogóle.

Aby system uwierzytelniania odniósł sukces, musi być zarówno bezpieczny, aby zapobiec niechcianym włamaniom, jak i wygodny, aby nie przeszkadzał użytkownikowi. Użytkownik musi czuć się tak, jakby bezpieczeństwo było integralną częścią wykonywanej przez niego pracy, a nie postrzegać go jako niezwiązanego z nim zadania lub zestawu wytycznych, do których jest zmuszony się stosować. Dlatego użytkownik musi dostrzec korzyści płynące z utrzymania bezpieczeństwa, zarówno dla siebie, jak i dla całej organizacji .

Kiedy systemy haseł stają się zbyt skomplikowane lub nakładają zbyt wiele ograniczeń, wygoda użytkownika jest zmniejszona, co skutkuje niskimi wskaźnikami przypominania haseł . Ostatecznie jest to nieefektywne, ponieważ więcej czasu poświęca się na uwierzytelnianie użytkowników, ponieważ pracownicy działu pomocy technicznej muszą angażować się w przypadku zapomnienia haseł, co powoduje zwiększone wydatki. W przeciwieństwie do tego, jeśli hasło jest zbyt proste, problemy z bezpieczeństwem stają się bardziej widoczne, chociaż uwierzytelnianie może być teraz bardziej wydajne ze względu na wyższe współczynniki przywoływania, zwiększają się również szanse niechcianych intruzów na dostęp do systemu. Następnie oczywista staje się potrzeba zrównoważenia tych dwóch zmiennych, bezpieczeństwa i wygody. Oba są równie ważne, a zaniedbanie któregokolwiek z nich będzie miało negatywny wpływ na organizację jako całość. Sugerowano, że edukacja użytkowników w zakresie potrzeby bezpieczeństwa, a ostatecznie konieczności ochrony wrażliwych danych, zwiększy bezpieczeństwo i wygodę. Ułatwia to nauczenie użytkowników dobrej etykiety i praktyk związanych z hasłami, jednocześnie wyposażając ich w umiejętności zapamiętywania swoich haseł [6]. Czterdzieści siedem procent brytyjskich pracowników przyznało się do używania w swoich hasłach danych osobowych, takich jak imię i nazwisko czy data urodzenia; jest to przykład etykiety dotyczącej złego hasła. Podobnie należy unikać używania tego samego hasła dla wielu kont, ponieważ jeśli konto, które nie jest tak dobrze chronione, zostanie zhakowane, osoba atakująca może mieć dostęp do innych, bardziej prywatnych informacji w innym systemie. Użytkownicy muszą również powstrzymać się od zapisywania haseł w celu ich zapamiętania; Chociaż może się to wydawać zdrowym rozsądkiem, badania pokazują, że wielu użytkowników nadal angażuje się w tę praktykę Zasugerowano, że wdrożenie odpowiednich zasad bezpieczeństwa w większych organizacjach może pomóc w przezwyciężeniu takich problemów. Takie polityki mogą być określone w instrukcjach/umowach kodeksu postępowania IT lub dokumentach dotyczących polityki IT i wzmocnione poprzez programy szkoleniowe, ale mogą być również wbudowane w systemy bezpieczeństwa. Na przykład usunięcie możliwości wykorzystywania przez pracowników ich nazw użytkowników jako części haseł lub wymaganie użycia określonej liczby znaków w haśle, przy czym liczba tych znaków to symbole lub cyfry. Pracownicy mogą jednak przeoczyć politykę informatyczną i wymagania dotyczące kodeksu postępowania na rzecz wygody. Jeśli czują, że wymagania są zbyt rygorystyczne, mogą postrzegać bezpieczeństwo jako proces zewnętrzny w stosunku do ich pracy, w przeciwieństwie do czegoś, z czego mogą bezpośrednio skorzystać, ważne jest następnie edukowanie personelu poprzez seminaria lub spotkania na temat wartości utrzymania organizacji Bezpieczeństwo IT. Wygodę dla pracowników można również zwiększyć, ucząc ich technik przypominania sobie w celu zapamiętywania haseł lub pomagając im tworzyć i zapamiętywać silniejsze hasła za pomocą różnych technik tworzenia haseł . Na przykład podstawowa technika tworzenia haseł jest szczególnie przydatna do zapamiętywania haseł do wielu kont; pracownicy są zachęcani do używania podstawowego sufiksu lub prefiksu dla każdego hasła, takiego jak „e $ r8”, który następnie staje się sufiksem lub prefiksem każdego hasła, ułatwiając ich zapamiętanie. Technika ta jest wzmocniona, jeśli pracownicy uczą się strategii tworzenia haseł, które zachęcają ich do używania liter, cyfr i symboli. W przeciwieństwie do słowa, po którym następuje seria liczb, co jest dość powszechne, pracownik mógłby na przykład użyć określonej liczby losowych znaków, po których następuje liczba, symbol, a następnie trzy kolejne cyfry. Ta formuła może być następnie używana nie tylko do tworzenia silniejszych haseł, ale także do przywoływania tych haseł

Kilka lat po 395 r. p.n.e. było zamazanymi bitwami w Grecji i za granicą, z wojną w Koryncie i Spartą nadal związaną z Persją. W 394 r. p.n.e. Spartanie odnieśli wielkie sukcesy przeciwko swoim greckim wrogom, a spartański król Agesilaos został wezwany do pomocy w dokończeniu dzieła. Po ciężkich klęskach inne greckie miasta unikały otwartych bitew ze Spartanami, woląc przeprowadzać niszczycielskie ataki na terytoria spartańskie. W tym samym czasie flota spartańska została prawie całkowicie zniszczona przez Persów pod Knidos. Gdy Spartanie nie byli w stanie ich powstrzymać, Persowie okrążyli zachodnią część Morza Śródziemnego, wyrzucając spartańskie garnizony z byłych ateńskich sojuszników, których Sparta przejęła pod koniec wojny peloponeskiej . Spartańskie trzymanie większości Grecji i okolic trwało zaledwie osiem lat.

Najpopularniejsze urządzenia z systemem iOS, takie jak iPad i iPhone, to urządzenia mobilne, które mogą potencjalnie przechowywać niezwykle wrażliwe dane. Są to również urządzenia-bramy, które można synchronizować z komputerem domowym, pocztą e-mail i innymi różnymi kontami w chmurze; Dlatego też, gdyby ktoś włamał się na urządzenie, zaatakowano również inne konta. Systemy iOS domyślnie implementują systemy uwierzytelniania w postaci czterocyfrowego numeru PIN. Jeśli ten kod PIN zostanie wprowadzony nieprawidłowo pięć razy, urządzenie zostanie zablokowane na minutę, aby zapobiec dalszym próbom zgadywania. W ramach konfiguracji użytkownik może określić trwałą blokadę, jeśli kilka prób logowania zakończy się niepowodzeniem, wymuszając połączenie urządzenia z komputerem, z którym jest zsynchronizowane, w celu ponownego odblokowania. W celu zwiększenia bezpieczeństwa użytkownik ma możliwość wyłączenia funkcji prostego hasła w zakładce Ustawienia; Umożliwi to używanie haseł alfanumerycznych w przeciwieństwie do standardowych haseł numerycznych. Wymaganą funkcję hasła można również wykorzystać do monitowania użytkownika o ponowne wprowadzenie hasła po określonym czasie. Urządzenia iOS wykorzystują algorytm Advanced Encryption Standard (AES) lub AES-256 . Ta metoda szyfrowania została opracowana przez rząd Stanów Zjednoczonych w 2001 roku . Teoretycznie AES-128 został już złamany przez grupę badaczy Microsoftu, jednak odkryli, że złamanie jednego klucza AES-128 zajęłoby bilion komputerów, dwa miliardy lat. Dzięki ekstrapolacji sprawia to, że AES-256 jest praktycznie nieprzenikniony przy prądzie. Zgłoszono, że iPhone’y lub iPady z jailbreakiem, aby móc instalować aplikacje innych firm, w rzeczywistości uczynią je podatnymi na ataki, które mogą ukraść hasła. I odwrotnie, gdyby ktoś ukradł telefon, osoba atakująca mogłaby uzyskać dostęp do danych.

Podczas gdy Spartanie angażowali się w wydarzenia w Azji Mniejszej, inne państwa greckie wykorzystały to. Głównymi graczami byli Tebanie, którzy wciąż byli oburzeni wydarzeniami sprzed kilku lat, kiedy czuli, że nie otrzymali odpowiedniej rekompensaty przez Spartę za wsparcie podczas wojny peloponeskiej.

Zawarcie sojuszu z Tebami

W 395 r. p.n.e. Teby zawarły traktat z Atenami, aby połączyć siły przeciwko Sparcie. Partnerstwo zakończyło się sukcesem i zadali Spartanowi ciężką klęskę w bitwie pod Haliartos, podczas której zginął spartański dowódca Lysander. Zwycięstwo tebańskie zachęciło inne państwa greckie, a pod koniec 395 r. p.n.e. do partnerstwa dołączyły również Korynt i Argos. Ten nowy potężny sojusz przystąpił do ataku Sparty. W związku z faktem, że większość akcji miała miejsce wokół Przesmyku Korynckiego, atak znany był jako Wojna Koryncka.

W środowisku Microsoft Windows NT / XP / Vista / Windows 7 Security Account Manager (SAM) jest bazą danych, w której przechowywane są hasła systemowe, przy użyciu mieszania LM / NTLM [76]. W systemie Microsoft Windows dostęp do tej bazy danych nie jest przyznawany, a modyfikacja nie jest możliwa, gdy system Windows jest uruchomiony, a nawet po zamknięciu systemu Windows lub pojawieniu się „niebieskiego ekranu śmierci”, blokada plików SAM będzie nadal skuteczna. Mówi się, że kopia pliku SAM znajdująca się w pamięci może zostać zrzucona za pomocą techniki, która umożliwiłaby wtedy ataki siłowe. W celu zwiększenia bezpieczeństwa SAM może zaimplementować SYSKEY, który może zapobiec złamaniu haseł offline, nawet jeśli osoba atakująca miała jego kopię. Haszowanie LM jest podstawową funkcją haszującą programu Microsoft LAN Manager i Microsoft Windows [76]. Co więcej, NTLM jest bezpieczniejsze dzięki implementacji obsługi Unicode [77]. SAM to część rejestru, którą można znaleźć na dysku twardym. Jednak LM i NTLM nie są już implementowane, ponieważ zostały złamane, domyślnie NTLM2 jest teraz standardem wdrożonym przez firmę Microsoft do użytku z bazą danych SAM w połączeniu z metodą uwierzytelniania Kereberos.

Po fiasku kampanii Cyrusa wiele greckich miast Azji Mniejszej, które go wspierały, obawiało się, że zostaną ukarane przez perskiego króla Artakserksesa. Miasta zwróciły się do Sparty o pomoc, ponieważ Spartanie poparli Cyrusa i byli teraz dominującym państwem greckim. Spartanie ich nie zawiedli, walcząc w serii kampanii w obronie miast Azji Mniejszej. Spartański król Agesilaos prowadził największą z tych kampanii w 396 r. p.n.e. Niestety Spartanie mieli się dowiedzieć, że biorąc odpowiedzialność za Greków za granicą, pozostawili w domu otwarte tylne drzwi. . .

Hasła w systemach Unix lub Linux są przechowywane w katalogu / etc / passwd, w formacie zakodowanym, a nie zaszyfrowanym. Dzieje się tak, ponieważ nie jest używany tradycyjny algorytm; następnie podsumowanie jest kodowane, a nie szyfrowane. Przed zakodowaniem hasła wybierany jest losowy klucz zwany „sól”. Ten klucz ma wartość liczbową z przedziału od 1 do 4096. Dołączenie „soli” do hasła, a następnie wykonanie jednokierunkowego skrótu, tworzy skrót, który jest następnie przechowywany. Kiedy użytkownik próbuje zostać uwierzytelniony, sól jest ponownie dodawana do jego danych wejściowych przed przeprowadzeniem procedury haszowania i porównaniem dwóch skrótów. Jeśli oba skróty są identyczne, dostęp jest przyznawany. Pomimo wykorzystania tej metody, atakujący nadal mógłby przeprowadzić atak słownikowy w celu odzyskania hasła, gdyby miał dostęp do pliku/etc/passwd. Aby temu przeciwdziałać, dla Linuksa opracowano technikę znaną jako shadow passwording. Ta technika tworzy drugi plik, który jest dostępny tylko dla administratora systemu; ten plik ukrytych haseł zawiera wszystkie skróty haseł, podczas gdy drugi plik / etc / passwd pozostaje pusty lub zawiera fałszywe dane, aby wyrzucić atakującego. Jest to skuteczny sposób odstraszania atakujących od przeprowadzania czasochłonnych ataków słownikowych na systemy Linux, ponieważ hasła, które mogą uzyskać z pliku public/etc/passwd, mogą być całkowicie przestarzałe.