Verdens første password blev også brudt

Verdens første password-tyveri fylder 50 i år. Det er kun lidt yngre end verdens første password.

Den store trussel mod passwords i dag er ikke at blive maskinknækket eller gættet. Det er at blive stjålet ud af bagdøren på dårligt beskyttede servere.
Den store trussel mod passwords i dag er ikke at blive maskinknækket eller gættet. Det er at blive stjålet ud af bagdøren på dårligt beskyttede servere.
Hemmelige kodeord har menneskeheden sikkert altid haft, men passwords til computere kom til os noget senere end computerne selv.

De første elektroniske cifferregnemaskiner var beskyttede med almindelige nøgler - evt. suppleret med skarp militær bevogtning - ind til de store rum, hvor skrumlerne stod og alligevel kun kunne betjenes af dem, der havde lov til det.

Magasinet Wired har gravet i passwordets historie, og de fleste amerikanske computerhistorikere er enige om, at det første password formentlig opstod på et af de første systemer med deling af sessioner mellem flere brugere på flere terminaler. Systemet var Massachusetts Institute of Technologys efter tiden kæmpestore og mægtigt kraftige CTSS, som blev oprettet i 1961 og beskrevet videnskabeligt i 1962.

Læs også: The World’s First Computer Password? It Was Useless Too

CTSS står for Compatible Time-Sharing System, og systemet var fødested for mange af de ting, vi i dag forbinder med internettet, fx e-mail, fildeling og chat (eller instant messaging).

Arbejdstid med CTSS var utroligt efterspurgt blandt forskerne på MIT, og det blev nødvendigt at tildele folk et begrænset antal timer at bruge computeren i. Man skrev sig ind med sit eget navn, men systemet var åbenbart så attraktivt, at det ikke helt var nok til at stoppe kødannelsen, så hver bruger blev desuden tildelt et kodeord - et password, som vi kender det i dag.  
 
Fernando Corbató, som udviklede styresystemet til CTSS og var drivkraft bag det, er ifølge Wired ikke meget for at tage æren for at have udviklet det første computerpassword bare ved at lave sin enkle liste over kodeord til MIT-forskerne.  Han mener, ideen er så banal, at den kan være opstået samtidig flere steder og under alle omstændigheder var kommet af sig selv.

“Hovedproblemet var, at vi her satte flere terminaler op, som hver blev brugt af flere personer med hver deres egne private filer. At give hver bruger et individuelt password som lås virkede som den oplagte løsning," siger han til Wired.

Læs også: Her er årets mest usikre passwords

Det er heller ikke helt sikkert, at CTSS var det første system med passwordbeskyttelse. Det kan have været et tidligere IBM-system, men ingen med viden fra perioden kan rigtigt længere huske, hvordan man holdt styr på brugeradgangen.

CTSS er dog helt sikkert ramme om det første dokumenterede password-brud, og det skete på samme måde, som det oftest sker i dag: Ved at nogen går ad en bagdør ind i systemet og stjæler alle passwords og brugernavne på én gang.

Allan L. Scherr, der i 1962 var PhD-studerende på MIT, syntes han var  tildelt for lidt tid på CTSS, så en sen fredag aften sendte han ganske enkelt systemet en kommando via et hulkortsystem om at udprinte alle brugernavne og passwords.

Og tidligt lørdag morgen listede han på instituttet før alle andre og fiskede listen ud af udskriftbakken. Han delte den med række kolleger for at fordele skylden og dulme sin dårlige samvittighed, og 25 år senere sendte han et brev med en undskyldning til den daværende direktør for computerlaboratoriet, professor Robert Fano.

Fano må dog have haft en fornemmelse af ugler i mosen, for en af modtagerne af Scherrs password-liste begyndte prompte at logge ind som "Robert Fano" og efterlade drillebeskeder i systemet.

Scherr indrømmede offentligt sin brøde i et festskrift til CTSS's ære, som blev udgivet sidste år  på 50-års-dagen for systemets åbning. Systemet skabte dog selv det allerstørste hul i password-sikkerheden, da en mindre kodefejl en dag i 1966 gjorde den komplette passwordliste til velkomstskærm på alle terminalerne.

Læs også: Nu skete det igen: Sony udsat for nyt hackerangreb

Scherrs hulkort med "Udskriv Password"-kommandoen er dermed nok det første password-tyveri, men såvist ikke det mest raffinerede, verden har set. Mange af de steder på nettet. vi i dag rutinemæssigt opretter et brugernavn og kodeord, beskytter dog ikke vores informationer ret meget bedre end dengang.

Derfor burde rådene til at lave gode password i dag have en tilføjelse i forhold til dengang, vi kun havde et eller to til virkeligt velbeskyttede interne systemer.
"Lad være med at bruge samme password til alting, uanset at det er megasupersikkert med store og små bogstaver, masser af tegn, tal og kom-ikke-her."

For det er helt ligegyldigt, hvor svært dit password er at gætte eller maskinknække, hvis det bliver stjålet i ukodet tilstand fra en dårligt beskyttet web-server.
Mest læste

Vi kan se, at du har installeret en adblocker, så vi ikke kan vise dig annoncer.

Det er vi kede af, fordi indtægter fra annoncer er en helt afgørende årsag til, at vi dagligt kan tilbyde dig journalistik af høj kvalitet.

For få adgang til indhold på b.dk skal du tillade visning af annoncer på b.dk. Se hvordan du gør her..

Tak for din forståelse.

Hov! Hvor blev min artikel af..!?

Du er træt af reklamer. Vi ved det godt! Men de betaler for den artikel, du du sidder og læser. Vi vil derfor sætte stor pris på, at du tilføjer b.dk til din adblocker's "whiteliste".

Tak for din forståelse.