…nie dla każdego…

Aby system uwierzytelniania odniósł sukces, musi być zarówno bezpieczny, aby zapobiec niechcianym włamaniom, jak i wygodny, aby nie przeszkadzał użytkownikowi. Użytkownik musi czuć się tak, jakby bezpieczeństwo było integralną częścią wykonywanej przez niego pracy, a nie postrzegać go jako niezwiązanego z nim zadania lub zestawu wytycznych, do których jest zmuszony się stosować. Dlatego użytkownik musi dostrzec korzyści płynące z utrzymania bezpieczeństwa, zarówno dla siebie, jak i dla całej organizacji .

Kiedy systemy haseł stają się zbyt skomplikowane lub nakładają zbyt wiele ograniczeń, wygoda użytkownika jest zmniejszona, co skutkuje niskimi wskaźnikami przypominania haseł . Ostatecznie jest to nieefektywne, ponieważ więcej czasu poświęca się na uwierzytelnianie użytkowników, ponieważ pracownicy działu pomocy technicznej muszą angażować się w przypadku zapomnienia haseł, co powoduje zwiększone wydatki. W przeciwieństwie do tego, jeśli hasło jest zbyt proste, problemy z bezpieczeństwem stają się bardziej widoczne, chociaż uwierzytelnianie może być teraz bardziej wydajne ze względu na wyższe współczynniki przywoływania, zwiększają się również szanse niechcianych intruzów na dostęp do systemu. Następnie oczywista staje się potrzeba zrównoważenia tych dwóch zmiennych, bezpieczeństwa i wygody. Oba są równie ważne, a zaniedbanie któregokolwiek z nich będzie miało negatywny wpływ na organizację jako całość. Sugerowano, że edukacja użytkowników w zakresie potrzeby bezpieczeństwa, a ostatecznie konieczności ochrony wrażliwych danych, zwiększy bezpieczeństwo i wygodę. Ułatwia to nauczenie użytkowników dobrej etykiety i praktyk związanych z hasłami, jednocześnie wyposażając ich w umiejętności zapamiętywania swoich haseł [6]. Czterdzieści siedem procent brytyjskich pracowników przyznało się do używania w swoich hasłach danych osobowych, takich jak imię i nazwisko czy data urodzenia; jest to przykład etykiety dotyczącej złego hasła. Podobnie należy unikać używania tego samego hasła dla wielu kont, ponieważ jeśli konto, które nie jest tak dobrze chronione, zostanie zhakowane, osoba atakująca może mieć dostęp do innych, bardziej prywatnych informacji w innym systemie. Użytkownicy muszą również powstrzymać się od zapisywania haseł w celu ich zapamiętania; Chociaż może się to wydawać zdrowym rozsądkiem, badania pokazują, że wielu użytkowników nadal angażuje się w tę praktykę Zasugerowano, że wdrożenie odpowiednich zasad bezpieczeństwa w większych organizacjach może pomóc w przezwyciężeniu takich problemów. Takie polityki mogą być określone w instrukcjach/umowach kodeksu postępowania IT lub dokumentach dotyczących polityki IT i wzmocnione poprzez programy szkoleniowe, ale mogą być również wbudowane w systemy bezpieczeństwa. Na przykład usunięcie możliwości wykorzystywania przez pracowników ich nazw użytkowników jako części haseł lub wymaganie użycia określonej liczby znaków w haśle, przy czym liczba tych znaków to symbole lub cyfry. Pracownicy mogą jednak przeoczyć politykę informatyczną i wymagania dotyczące kodeksu postępowania na rzecz wygody. Jeśli czują, że wymagania są zbyt rygorystyczne, mogą postrzegać bezpieczeństwo jako proces zewnętrzny w stosunku do ich pracy, w przeciwieństwie do czegoś, z czego mogą bezpośrednio skorzystać, ważne jest następnie edukowanie personelu poprzez seminaria lub spotkania na temat wartości utrzymania organizacji Bezpieczeństwo IT. Wygodę dla pracowników można również zwiększyć, ucząc ich technik przypominania sobie w celu zapamiętywania haseł lub pomagając im tworzyć i zapamiętywać silniejsze hasła za pomocą różnych technik tworzenia haseł . Na przykład podstawowa technika tworzenia haseł jest szczególnie przydatna do zapamiętywania haseł do wielu kont; pracownicy są zachęcani do używania podstawowego sufiksu lub prefiksu dla każdego hasła, takiego jak „e $ r8”, który następnie staje się sufiksem lub prefiksem każdego hasła, ułatwiając ich zapamiętanie. Technika ta jest wzmocniona, jeśli pracownicy uczą się strategii tworzenia haseł, które zachęcają ich do używania liter, cyfr i symboli. W przeciwieństwie do słowa, po którym następuje seria liczb, co jest dość powszechne, pracownik mógłby na przykład użyć określonej liczby losowych znaków, po których następuje liczba, symbol, a następnie trzy kolejne cyfry. Ta formuła może być następnie używana nie tylko do tworzenia silniejszych haseł, ale także do przywoływania tych haseł

Kilka lat po 395 r. p.n.e. było zamazanymi bitwami w Grecji i za granicą, z wojną w Koryncie i Spartą nadal związaną z Persją. W 394 r. p.n.e. Spartanie odnieśli wielkie sukcesy przeciwko swoim greckim wrogom, a spartański król Agesilaos został wezwany do pomocy w dokończeniu dzieła. Po ciężkich klęskach inne greckie miasta unikały otwartych bitew ze Spartanami, woląc przeprowadzać niszczycielskie ataki na terytoria spartańskie. W tym samym czasie flota spartańska została prawie całkowicie zniszczona przez Persów pod Knidos. Gdy Spartanie nie byli w stanie ich powstrzymać, Persowie okrążyli zachodnią część Morza Śródziemnego, wyrzucając spartańskie garnizony z byłych ateńskich sojuszników, których Sparta przejęła pod koniec wojny peloponeskiej . Spartańskie trzymanie większości Grecji i okolic trwało zaledwie osiem lat.

Najpopularniejsze urządzenia z systemem iOS, takie jak iPad i iPhone, to urządzenia mobilne, które mogą potencjalnie przechowywać niezwykle wrażliwe dane. Są to również urządzenia-bramy, które można synchronizować z komputerem domowym, pocztą e-mail i innymi różnymi kontami w chmurze; Dlatego też, gdyby ktoś włamał się na urządzenie, zaatakowano również inne konta. Systemy iOS domyślnie implementują systemy uwierzytelniania w postaci czterocyfrowego numeru PIN. Jeśli ten kod PIN zostanie wprowadzony nieprawidłowo pięć razy, urządzenie zostanie zablokowane na minutę, aby zapobiec dalszym próbom zgadywania. W ramach konfiguracji użytkownik może określić trwałą blokadę, jeśli kilka prób logowania zakończy się niepowodzeniem, wymuszając połączenie urządzenia z komputerem, z którym jest zsynchronizowane, w celu ponownego odblokowania. W celu zwiększenia bezpieczeństwa użytkownik ma możliwość wyłączenia funkcji prostego hasła w zakładce Ustawienia; Umożliwi to używanie haseł alfanumerycznych w przeciwieństwie do standardowych haseł numerycznych. Wymaganą funkcję hasła można również wykorzystać do monitowania użytkownika o ponowne wprowadzenie hasła po określonym czasie. Urządzenia iOS wykorzystują algorytm Advanced Encryption Standard (AES) lub AES-256 . Ta metoda szyfrowania została opracowana przez rząd Stanów Zjednoczonych w 2001 roku . Teoretycznie AES-128 został już złamany przez grupę badaczy Microsoftu, jednak odkryli, że złamanie jednego klucza AES-128 zajęłoby bilion komputerów, dwa miliardy lat. Dzięki ekstrapolacji sprawia to, że AES-256 jest praktycznie nieprzenikniony przy prądzie. Zgłoszono, że iPhone’y lub iPady z jailbreakiem, aby móc instalować aplikacje innych firm, w rzeczywistości uczynią je podatnymi na ataki, które mogą ukraść hasła. I odwrotnie, gdyby ktoś ukradł telefon, osoba atakująca mogłaby uzyskać dostęp do danych.

Podczas gdy Spartanie angażowali się w wydarzenia w Azji Mniejszej, inne państwa greckie wykorzystały to. Głównymi graczami byli Tebanie, którzy wciąż byli oburzeni wydarzeniami sprzed kilku lat, kiedy czuli, że nie otrzymali odpowiedniej rekompensaty przez Spartę za wsparcie podczas wojny peloponeskiej.

Zawarcie sojuszu z Tebami

W 395 r. p.n.e. Teby zawarły traktat z Atenami, aby połączyć siły przeciwko Sparcie. Partnerstwo zakończyło się sukcesem i zadali Spartanowi ciężką klęskę w bitwie pod Haliartos, podczas której zginął spartański dowódca Lysander. Zwycięstwo tebańskie zachęciło inne państwa greckie, a pod koniec 395 r. p.n.e. do partnerstwa dołączyły również Korynt i Argos. Ten nowy potężny sojusz przystąpił do ataku Sparty. W związku z faktem, że większość akcji miała miejsce wokół Przesmyku Korynckiego, atak znany był jako Wojna Koryncka.

W środowisku Microsoft Windows NT / XP / Vista / Windows 7 Security Account Manager (SAM) jest bazą danych, w której przechowywane są hasła systemowe, przy użyciu mieszania LM / NTLM [76]. W systemie Microsoft Windows dostęp do tej bazy danych nie jest przyznawany, a modyfikacja nie jest możliwa, gdy system Windows jest uruchomiony, a nawet po zamknięciu systemu Windows lub pojawieniu się „niebieskiego ekranu śmierci”, blokada plików SAM będzie nadal skuteczna. Mówi się, że kopia pliku SAM znajdująca się w pamięci może zostać zrzucona za pomocą techniki, która umożliwiłaby wtedy ataki siłowe. W celu zwiększenia bezpieczeństwa SAM może zaimplementować SYSKEY, który może zapobiec złamaniu haseł offline, nawet jeśli osoba atakująca miała jego kopię. Haszowanie LM jest podstawową funkcją haszującą programu Microsoft LAN Manager i Microsoft Windows [76]. Co więcej, NTLM jest bezpieczniejsze dzięki implementacji obsługi Unicode [77]. SAM to część rejestru, którą można znaleźć na dysku twardym. Jednak LM i NTLM nie są już implementowane, ponieważ zostały złamane, domyślnie NTLM2 jest teraz standardem wdrożonym przez firmę Microsoft do użytku z bazą danych SAM w połączeniu z metodą uwierzytelniania Kereberos.

Po fiasku kampanii Cyrusa wiele greckich miast Azji Mniejszej, które go wspierały, obawiało się, że zostaną ukarane przez perskiego króla Artakserksesa. Miasta zwróciły się do Sparty o pomoc, ponieważ Spartanie poparli Cyrusa i byli teraz dominującym państwem greckim. Spartanie ich nie zawiedli, walcząc w serii kampanii w obronie miast Azji Mniejszej. Spartański król Agesilaos prowadził największą z tych kampanii w 396 r. p.n.e. Niestety Spartanie mieli się dowiedzieć, że biorąc odpowiedzialność za Greków za granicą, pozostawili w domu otwarte tylne drzwi. . .

Hasła w systemach Unix lub Linux są przechowywane w katalogu / etc / passwd, w formacie zakodowanym, a nie zaszyfrowanym. Dzieje się tak, ponieważ nie jest używany tradycyjny algorytm; następnie podsumowanie jest kodowane, a nie szyfrowane. Przed zakodowaniem hasła wybierany jest losowy klucz zwany „sól”. Ten klucz ma wartość liczbową z przedziału od 1 do 4096. Dołączenie „soli” do hasła, a następnie wykonanie jednokierunkowego skrótu, tworzy skrót, który jest następnie przechowywany. Kiedy użytkownik próbuje zostać uwierzytelniony, sól jest ponownie dodawana do jego danych wejściowych przed przeprowadzeniem procedury haszowania i porównaniem dwóch skrótów. Jeśli oba skróty są identyczne, dostęp jest przyznawany. Pomimo wykorzystania tej metody, atakujący nadal mógłby przeprowadzić atak słownikowy w celu odzyskania hasła, gdyby miał dostęp do pliku/etc/passwd. Aby temu przeciwdziałać, dla Linuksa opracowano technikę znaną jako shadow passwording. Ta technika tworzy drugi plik, który jest dostępny tylko dla administratora systemu; ten plik ukrytych haseł zawiera wszystkie skróty haseł, podczas gdy drugi plik / etc / passwd pozostaje pusty lub zawiera fałszywe dane, aby wyrzucić atakującego. Jest to skuteczny sposób odstraszania atakujących od przeprowadzania czasochłonnych ataków słownikowych na systemy Linux, ponieważ hasła, które mogą uzyskać z pliku public/etc/passwd, mogą być całkowicie przestarzałe.

W tym samym czasie, co nieszczęścia Aten i Sparty, w imperium perskim szykowały się kłopoty – co miało duże konsekwencje dla Sparty i reszty Grecji.

Maszerujesz przez pustynię z Cyrusem

Król perski Dariusz zmarł w 404 r. p.n.e., a jego następcą został jego syn Artakserkses. Młodszy brat Artakserksesa, Cyrus, postanowił ukraść koronę i przystąpił do rekrutacji armii. Pierwszym portem zawinięcia Cyrusa była Sparta, której bardzo pomógł w wojnie peloponeskiej. Spartanie byli prawie zobowiązani do pomocy Cyrusowi, a zrobili to, wysyłając nieoficjalne siły do ​​przyłączenia się do greckiej armii najemników, którą Cyrus gromadził. Wyprawa nie poszła dobrze. Cyrus został pokonany i zabity w bitwie w miejscu zwanym Cunaxa w pobliżu perskiego miasta Babilon. Jego armia greckich najemników została opuszczona i pozbawiona przywódcy na środku perskiej pustyni! Wśród najemnych żołnierzy Cyrusa był Ksenofont, który zapisał się po zakończeniu wojny peloponeskiej. Ksenofont i inni oficerowie wyruszyli w niesamowity marsz z powrotem przez Persję i Azję Mniejszą na czele 10-tysięcznej siły mężczyzn. Ksenofont napisał książkę o tym doświadczeniu zatytułowaną Anabasis, czyli „kraj marszowy”, którą czyta się jak dziennik. Mówi się, że szczegóły narracji są tak dokładne, że Aleksander Wielki użył jej jako przewodnika, gdy odbył podróż w przeciwnym kierunku 75 lat później. Czytając te szczegóły, łatwo zrozumieć, dlaczego w tym marszu armii zabrakło zboża i nie można było jej kupić poza rynkiem lidyjskim gdzie za cztery sigli można było dostać capithe z mąki pszennej lub kaszy jęczmiennej. Siglus jest wart siedem i pół obola strychowego, a capithe jest równy trzem pintom.

Ksenofont i inni generałowie znakomicie sprowadzili 10 000 ludzi z powrotem na terytorium Grecji (w Azji Mniejszej), ale Ksenofont nie otrzymał za to żadnych podziękowań. Kiedy wrócił do Aten, Ksenofont został postawiony przed sądem. Zarzut był taki, że dowodził oddziałami Spartan – co było prawdą – ale był też postrzegany jako radykał i był znanym współpracownikiem Sokratesa. Ksenofont został ostatecznie wysłany na wygnanie. Zła wiadomość dla niego, ale dobra dla historyków, bo w tym czasie przymusowej emerytury zaczął pisać historię! Przez jakiś czas mieszkał w Olimpii, a następnie w Koryncie, po czym wrócił do Aten na krótko przed śmiercią około 360 p.n.e.

Przetwarzanie w chmurze staje się coraz bardziej popularne, nie tylko dla użytkowników domowych, ale także dla organizacji. Hasła są przechowywane w chmurze, podobnie jak są przechowywane na komputerach lokalnych. Użytkownik tworzy hasło, które jest następnie szyfrowane i używane do porównania za każdym razem, gdy użytkownik próbuje zostać uwierzytelniony. Główna różnica polega na tym, że skrót nie jest przechowywany na komputerze użytkownika, ale w chmurze w bazie danych serwera. Gdy użytkownik próbuje uwierzytelnić, wprowadzone przez niego hasło jest mieszane i porównywane z hashem przechowywanym na serwerze w chmurze. Chociaż przetwarzanie w chmurze ma wiele zalet i ma wiele współczesnych aplikacji, nie jest też całkowicie bezpieczne. Wiele firm padło ofiarą atakujących online, którzy uzyskali dostęp do wielu haseł, uzyskując dostęp do serwerów w chmurze, takich jak LinkedIn i DropBox . Przetwarzanie w chmurze może być również wykorzystywane do złośliwych celów; hakerzy wykorzystują „ciemne chmury” lub botnety do prowadzenia nielegalnych działań. Botnety to duże grupy komputerów, które bez wiedzy właściciela są wykorzystywane do rozprzestrzeniania złośliwego oprogramowania i łamania haseł. Gdyby haker infiltrował bazę danych haseł w chmurze, byłby przedstawiany z serią wartości haszów ; wartości te mogą być podatne na atak siłowy w celu odzyskania haseł. Byłby to bardzo długi proces, który nie byłby wykonalny na jednym komputerze, ale korzystając z botnetów hakerzy mogą „wydzielić” sekcje procesu na komputery na całym świecie, a następnie osiągnąć w ciągu godzin to, co zwykle trwałoby lata. Zostało to zademonstrowane przez niemieckiego naukowca, który wykorzystał usługi przetwarzania w chmurze firmy Amazon do złamania sześcioznakowego hasła w 49 minut za cenę 2,10 USD. Pokazuje to, jak ciemne przetwarzanie w chmurze można wykorzystać w sposób efektywny pod względem kosztów i czasu do celów negatywnych.

Przypuszczalnie Spartanie rozkoszowali się faktem, że po 26-letniej wojnie odnieśli miażdżące zwycięstwo nad starym wrogiem? No nie bardzo. Zwycięstwo w wojnie peloponeskiej okazało się prawie tak samo niszczące dla Sparty, jak porażka dla Aten. Pierwszym błędem, jaki popełnili Spartanie pod koniec wojny, był sposób, w jaki postępowali z imperium ateńskim. Teraz, gdy kontrolowali Ateny, Spartanie byli formalnie władcami wszystkich terytoriów, które były częścią imperium ateńskiego. W rezultacie Spartanie zmusili wiele greckich miast i miasteczek do przyjęcia nowych oligarchicznych systemów rządów, takich jak ten w Atenach. Wiele z tych miast nigdy bezpośrednio nie sprzeciwiało się Sparcie podczas wojny, więc teraz nie podobało im się surowe traktowanie, jakie otrzymali. Równie urażeni byli sojusznicy Sparty w dawnej Lidze Peloponeskiej . Żaden z byłych sojuszników Sparty nie otrzymał żadnej nagrody, gdy Sparta przejęła kontrolę nad Atenami pomimo pomocy, której udzielili podczas wojny. Ponieważ Spartanie zachowali wszystkie łupy, miasta takie jak Teby chętnie dały schronienie prodemokratycznym zesłańcom, którzy uciekli z Aten w czasach rządów Trzydziestu. Sparta stała się prawie wspólnym wrogiem Teb i Aten.